Les règles de stratégie de pare-feu génèrent des entrées de journal lorsqu'elles s'appliquent au trafic. Bien qu'un flux de paquets puisse générer plusieurs entrées de journal, une règle de stratégie de pare-feu génère au maximum une entrée de journal par connexion à partir d'une instance de machine virtuelle (VM).
Les exemples suivants montrent comment fonctionne la journalisation des règles de stratégie de pare-feu, y compris les comportements qui diffèrent des anciennes règles de pare-feu de cloud privé virtuel (VPC), comme la journalisation répétée des connexions refusées et la journalisation basée sur les sessions pour l'inspection avancée.
Exemple avec refus de trafic sortant
Dans cet exemple, le trafic transite entre deux instances de VM du réseau VPC example-net dans le projet example-proj.
- VM1 située dans la zone
us-west1-a, ayant l'adresse IP10.10.0.99dans le sous-réseauwest-subnet(régionus-west1). - VM2 située dans la zone
us-east1-b, ayant l'adresse IP10.20.0.99dans le sous-réseaueast-subnet(régionus-east1). - Règle A : une règle de pare-feu refusant le trafic sortant cible toutes les instances du réseau, pour le trafic à destination de
10.20.0.99(VM2) et circulant sur le port TCP80. La journalisation est activée pour cette règle. - Règle B : une règle de pare-feu autorisant le trafic entrant cible toutes les instances du réseau, pour le trafic en provenance de
10.10.0.99(VM1) et circulant sur le port TCP80. La journalisation est également activée pour cette règle.
Pour créer la règle de stratégie de pare-feu, consultez Tâches liées aux règles des stratégies de pare-feu.
Dans un scénario où la VM1 tente de se connecter à la VM2 sur le port TCP 80, voici ce qui se passe :
Le pare-feu génère une entrée de journal pour la règle A du point de vue de la VM1 pour la tentative de connexion ayant échoué.
Comme la règle A est une règle
DENY, le pare-feu enregistre chaque paquet correspondant au 5-tuple unique comme une tentative de connexion ayant échoué. Si le pare-feu continue de recevoir des paquets pour cette connexion, il répète la même entrée de journal toutes les cinq secondes.Étant donné que la règle A bloque le trafic à la source, le pare-feu ne prend pas en compte la règle B. Par conséquent, aucune entrée de journal n'est générée pour la règle B du point de vue de la VM2.
La VM1 génère l'enregistrement de journal de pare-feu suivant :
| Champ | Valeurs |
|---|---|
connection |
src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=10.20.0.99 dest_port=80 protocol=6 |
disposition |
REFUSÉ |
rule_details |
reference = "network:example-net/firewallPolicy:12345" priority = 10 action = DENY destination_range = 10.20.0.99/32 ip_port_info = tcp:80 direction = egress |
instance |
project_id="example-proj" instance_name=VM1 region=us-west1 zone=us-west1-a |
Exemple avec autorisation du trafic sortant et autorisation du trafic entrant
Dans cet exemple, le trafic transite entre les instances de VM du réseau VPC example-net dans le projet example-proj.
- VM1 située dans la zone
us-west1-a, ayant l'adresse IP10.10.0.99dans le sous-réseauwest-subnet(régionus-west1). - VM2 située dans la zone
us-east1-b, ayant l'adresse IP10.20.0.99dans le sous-réseaueast-subnet(régionus-east1). - Règle A : une règle d'autorisation du trafic sortant d'une stratégie de pare-feu de réseau globale a pour destination
10.20.0.99(VM2) et s'applique au port TCP80. La journalisation est activée pour cette règle. - Règle B : une règle de pare-feu de réseau globale autorisant le trafic entrant a pour source
10.10.0.99(VM1) et s'applique au port TCP80. La journalisation est activée pour cette règle.
Pour créer la règle de stratégie de pare-feu, consultez Tâches liées aux règles des stratégies de pare-feu.
Dans un scénario où la VM1 tente de se connecter à la VM2 sur le port TCP 80, voici ce qui se passe :
- Le pare-feu génère une entrée de journal pour la règle A du point de vue de la VM1 lorsque la VM1 se connecte à
10.20.0.99. Comme il s'agit d'une règleALLOW, la connexion n'est enregistrée qu'une seule fois et n'est pas répétée. - Le pare-feu génère une entrée de journal pour la règle B du point de vue de la VM2, tandis que la VM2 autorise les connexions entrantes en provenance de
10.10.0.99.
La VM1 génère l'enregistrement de journal de pare-feu suivant :
| Champ | Valeurs |
|---|---|
connection |
src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=10.20.0.99 dest_port=80 protocol=6 |
disposition |
AUTORISÉE |
rule_details |
reference = "network:example-net/firewallPolicy:12345" priority = 10 action = ALLOW destination_range = 10.20.0.99/32 ip_port_info = tcp:80 direction = egress |
La VM2 génère l'enregistrement de journal de pare-feu suivant :
| Champ | Valeurs |
|---|---|
connection |
src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=10.20.0.99 dest_port=80 protocol=6 |
disposition |
AUTORISÉE |
rule_details |
reference = "network:example-net/firewallPolicy:67890" priority = 10 action = ALLOW source_range = 10.10.0.99/32 ip_port_info = tcp:80 direction = ingress |
Exemple de trafic entrant depuis Internet
Dans cet exemple, le trafic transite d'une ressource externe vers une instance de VM au sein du réseau VPC example-net. Le réseau se trouve dans le projet example-proj.
- Le système situé sur Internet possède l'adresse IP
203.0.113.114. - La VM1 située dans la zone
us-west1-apossède l'adresse IP10.10.0.99dans le sous-réseauwest-subnet(régionus-west1). - Règle C : une règle de stratégie de pare-feu autorisant le trafic entrant a pour source n'importe quelle adresse IP (
0.0.0.0/0) et s'applique au port TCP80. La journalisation est activée pour cette règle. - Règle D : une règle de stratégie de pare-feu refusant le trafic sortant cible n'importe quelle adresse IP (
0.0.0.0/0) et s'applique à tous les protocoles. La journalisation est activée pour cette règle.
Pour créer la règle de stratégie de pare-feu, consultez Tâches liées aux règles des stratégies de pare-feu.
Dans un scénario où le système ayant l'adresse IP 203.0.113.114 tente de se connecter à la VM1 sur le port TCP 80, voici ce qui se passe :
- La VM1 génère une entrée de journal pour la règle C, car elle accepte le trafic provenant de
203.0.113.114. - Les règles de stratégie de pare-feu Cloud de nouvelle génération sont avec état, ce qui signifie que si une règle de pare-feu d'entrée autorise le trafic vers une instance de VM, le trafic de sortie (retour) est automatiquement autorisé.
Dans ce cas, la règle C autorise le trafic entrant. La VM1 peut donc envoyer du trafic de réponse à
203.0.113.114malgré la règle D. - Le suivi des connexions autorise le trafic de réponse et n'entraîne aucune journalisation, quelles que soient les règles de pare-feu de sortie. Par conséquent, le pare-feu ne tient pas compte de la règle D et ne génère aucune entrée de journal de sortie.
La VM1 génère l'enregistrement de journal de pare-feu suivant :
| Champ | Valeurs |
|---|---|
connection |
src_ip=203.0.113.114 src_port=[EPHEMERAL_PORT] dest_ip=10.10.0.99 dest_port=80 protocol=6 |
disposition |
AUTORISÉE |
rule_details |
reference = "network:example-net/firewallPolicy:12345" priority = 10 action = ALLOW source_range = 0.0.0.0/0 ip_port_info = tcp:80 direction = ingress |
remote_location |
continent country region city |
Exemple d'inspection avancée
Dans cet exemple, la règle de pare-feu Cloud NGFW utilise l'action apply_security_profile_group pour intercepter le trafic en vue d'une inspection approfondie des paquets.
- Le système situé sur Internet possède l'adresse IP
203.0.113.114. - VM1 située dans la zone
us-west1-a, ayant l'adresse IP10.10.0.99dans le sous-réseauwest-subnet(régionus-west1). - Règle E : règle de stratégie de pare-feu de sortie dont l'action est définie sur
apply_security_profile_group. La journalisation est activée pour cette règle.
Pour créer la règle de stratégie de pare-feu pour l'inspection avancée, consultez la présentation des profils de sécurité.
Supposons que la VM1 envoie du trafic correspondant à la règle E. Cela déclenche les événements suivants :
L'action
apply_security_profile_grouputilise la journalisation basée sur les sessions, qui diffère des journaux basés sur les connexions produits par les règlesallowoudenystandards.Cloud NGFW génère une seule entrée de journal de règle de pare-feu pour la session initiale correspondant à la règle, ce qui confirme que le trafic a été intercepté et redirigé vers le point de terminaison de pare-feu. Cloud NGFW génère ce journal de haut niveau même si plusieurs connexions sont identifiées comme faisant partie de la même session.
La VM1 génère l'enregistrement de journal de pare-feu suivant :
| Champ | Valeurs |
|---|---|
connection |
src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=203.0.113.114 dest_port=80 protocol=6 |
disposition |
INTERCEPTED |
rule_details |
reference = "network:example-net/firewallPolicy:12345" priority = 10 action = APPLY_SECURITY_PROFILE_GROUP apply_security_profile_fallback_action = UNSPECIFIED destination_range = 0.0.0.0/0 direction = egress |
Étapes suivantes
- Utiliser la journalisation des règles de stratégie de pare-feu
- Firewall Insights
- Présentation de Logging
- Acheminer les journaux vers les destinations compatibles