Règles prédéfinies pour les stratégies de pare-feu

Lorsque vous créez une stratégie de pare-feu hiérarchique, globale ou régionale, Cloud Next Generation Firewall ajoute automatiquement des règles prédéfinies. Vous pouvez personnaliser ou remplacer ces règles pour maintenir la posture de sécurité réseau souhaitée. Les règles prédéfinies varient selon que vous utilisez la Google Cloud console, la gcloud CLI ou l'API.

Ce document aide les administrateurs réseau et les ingénieurs en sécurité à définir des règles pour les stratégies de pare-feu.

Types de règles prédéfinies

Si vous créez une stratégie de pare-feu à l'aide de la Google Cloud console, Cloud NGFW ajoute les règles suivantes à la nouvelle stratégie :

  1. Règles "goto-next" pour les plages IPv4 privées
  2. Règles de refus prédéfinies pour Google Threat Intelligence
  3. Règles de refus prédéfinies pour la géolocalisation
  4. Règles "goto-next" de priorité la plus faible possible

Si vous créez une stratégie de pare-feu à l'aide de Google Cloud CLI ou de l'API, Cloud NGFW n'ajoute que les règles "goto-next" de priorité la plus faible possible à la stratégie.

Toutes les règles prédéfinies dans une nouvelle stratégie de pare-feu utilisent intentionnellement des priorités faibles (nombres de priorité importants) pour que vous puissiez les remplacer en créant des règles d'entrée ou de sortie avec des priorités plus élevées. Vous pouvez également personnaliser les règles prédéfinies, à l'exception des règles "goto-next" de priorité la plus faible possible.

Règles "goto-next" pour les plages IPv4 privées

  • Une règle de sortie avec les plages IPv4 de destination 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, une priorité 1000 et une action goto_next.

  • Une règle d'entrée avec les plages IPv4 sources 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, une priorité 1001 et une action goto_next.

Règles de refus prédéfinies pour Google Threat Intelligence

  • Une règle d'entrée avec la liste Google Threat Intelligence source iplist-tor-exit-nodes, une priorité 1002 et une action deny.

  • Une règle d'entrée avec la liste Google Threat Intelligence source iplist-known-malicious-ips, une priorité 1003 et une action deny.

  • Une règle de sortie avec la liste Google Threat Intelligence de destination iplist-known-malicious-ips, une priorité 1004 et une action deny.

Pour en savoir plus sur Google Threat Intelligence, consultez la page Google Threat Intelligence pour les règles de stratégie de pare-feu.

Règles de refus prédéfinies pour la géolocalisation

  • Une règle d'entrée avec des géolocalisations correspondantes sources CU, IR, KP, SY, XC et XD, une priorité 1005 et une action deny.

Pour en savoir plus sur les géolocalisations, consultez la section Objets de géolocalisation.

Règles "goto-next" de priorité la plus faible possible

Vous ne pouvez ni modifier, ni supprimer les règles suivantes :

  • Une règle de sortie avec la plage IPv6 de destination ::/0, une priorité de 2147483644 et une action goto_next.

  • Une règle d'entrée avec la plage IPv6 source ::/0, une priorité 2147483645 et une action goto_next.

  • Une règle de sortie avec la plage IPv4 de destination 0.0.0.0/0, une priorité 2147483646 et une action goto_next.

  • Une règle d'entrée avec la plage IPv4 source 0.0.0.0/0, une priorité 2147483647 et une action goto_next.

Étape suivante