Lorsque vous créez une stratégie de pare-feu hiérarchique, globale ou régionale, Cloud Next Generation Firewall ajoute automatiquement des règles prédéfinies. Vous pouvez personnaliser ou remplacer ces règles pour maintenir la posture de sécurité réseau souhaitée. Les règles prédéfinies varient selon que vous utilisez la Google Cloud console, la gcloud CLI ou l'API.
Ce document aide les administrateurs réseau et les ingénieurs en sécurité à définir des règles pour les stratégies de pare-feu.
Types de règles prédéfinies
Si vous créez une stratégie de pare-feu à l'aide de la Google Cloud console, Cloud NGFW ajoute les règles suivantes à la nouvelle stratégie :
- Règles "goto-next" pour les plages IPv4 privées
- Règles de refus prédéfinies pour Google Threat Intelligence
- Règles de refus prédéfinies pour la géolocalisation
- Règles "goto-next" de priorité la plus faible possible
Si vous créez une stratégie de pare-feu à l'aide de Google Cloud CLI ou de l'API, Cloud NGFW n'ajoute que les règles "goto-next" de priorité la plus faible possible à la stratégie.
Toutes les règles prédéfinies dans une nouvelle stratégie de pare-feu utilisent intentionnellement des priorités faibles (nombres de priorité importants) pour que vous puissiez les remplacer en créant des règles d'entrée ou de sortie avec des priorités plus élevées. Vous pouvez également personnaliser les règles prédéfinies, à l'exception des règles "goto-next" de priorité la plus faible possible.
Règles "goto-next" pour les plages IPv4 privées
Une règle de sortie avec les plages IPv4 de destination
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, une priorité1000et une actiongoto_next.Une règle d'entrée avec les plages IPv4 sources
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, une priorité1001et une actiongoto_next.
Règles de refus prédéfinies pour Google Threat Intelligence
Une règle d'entrée avec la liste Google Threat Intelligence source
iplist-tor-exit-nodes, une priorité1002et une actiondeny.Une règle d'entrée avec la liste Google Threat Intelligence source
iplist-known-malicious-ips, une priorité1003et une actiondeny.Une règle de sortie avec la liste Google Threat Intelligence de destination
iplist-known-malicious-ips, une priorité1004et une actiondeny.
Pour en savoir plus sur Google Threat Intelligence, consultez la page Google Threat Intelligence pour les règles de stratégie de pare-feu.
Règles de refus prédéfinies pour la géolocalisation
- Une règle d'entrée avec des géolocalisations correspondantes sources
CU,IR,KP,SY,XCetXD, une priorité1005et une actiondeny.
Pour en savoir plus sur les géolocalisations, consultez la section Objets de géolocalisation.
Règles "goto-next" de priorité la plus faible possible
Vous ne pouvez ni modifier, ni supprimer les règles suivantes :
Une règle de sortie avec la plage IPv6 de destination
::/0, une priorité de2147483644et une actiongoto_next.Une règle d'entrée avec la plage IPv6 source
::/0, une priorité2147483645et une actiongoto_next.Une règle de sortie avec la plage IPv4 de destination
0.0.0.0/0, une priorité2147483646et une actiongoto_next.Une règle d'entrée avec la plage IPv4 source
0.0.0.0/0, une priorité2147483647et une actiongoto_next.
Étape suivante
- Modifiez les règles prédéfinies. Pour en savoir plus, consultez les sections Mettre à jour une règle de stratégie de pare-feu de réseau au niveau mondial, Mettre à jour une règle de stratégie de pare-feu de réseau au niveau régional et Mettre à jour une règle de stratégie de pare-feu hiérarchique.
- Ajoutez vos propres règles. Pour en savoir plus, consultez les sections Créer une stratégie de pare-feu de réseau au niveau mondial, Créer une stratégie de pare-feu de réseau au niveau régional et Créer une stratégie de pare-feu.