Règles prédéfinies pour les stratégies de pare-feu

Lorsque vous créez une stratégie de pare-feu hiérarchique, une stratégie de pare-feu de réseau globale ou une stratégie de pare-feu de réseau régionale, Cloud NGFW ajoute des règles prédéfinies à la stratégie. Les règles prédéfinies que Cloud NGFW ajoute à la stratégie dépendent de la manière dont vous créez la stratégie.

Types de règles prédéfinies

Si vous créez une stratégie de pare-feu à l'aide de la console Google Cloud , Cloud NGFW ajoute les règles suivantes à la nouvelle stratégie :

1. Règles "goto-next" pour les plages IPv4 privées
2. Règles de refus prédéfinies pour Google Threat Intelligence
3. Règles de refus prédéfinies pour la géolocalisation
4. Règles "goto-next" de priorité la plus faible possible

Si vous créez une stratégie de pare-feu à l'aide de Google Cloud CLI ou de l'API, Cloud NGFW n'ajoute que les règles "goto-next" de priorité la plus faible possible à la stratégie.

Toutes les règles prédéfinies dans une nouvelle stratégie de pare-feu utilisent intentionnellement des priorités faibles (nombres de priorité importants) pour que vous puissiez les remplacer en créant des règles d'entrée ou de sortie avec des priorités plus élevées. Vous pouvez également personnaliser les règles prédéfinies, à l'exception des règles "goto-next" de priorité la plus faible possible.

Règles "goto-next" pour les plages IPv4 privées

• Une règle de sortie avec les plages IPv4 de destination 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, une priorité 1000 et une action goto_next.

• Une règle d'entrée avec les plages IPv4 sources 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, une priorité 1001 et une action goto_next.

Règles de refus prédéfinies pour Google Threat Intelligence

• Une règle d'entrée avec la liste Google Threat Intelligence source iplist-tor-exit-nodes, une priorité 1002 et une action deny.

• Une règle d'entrée avec la liste Google Threat Intelligence source iplist-known-malicious-ips, une priorité 1003 et une action deny.

• Une règle de sortie avec la liste Google Threat Intelligence de destination iplist-known-malicious-ips, une priorité 1004 et une action deny.

Pour en savoir plus sur Google Threat Intelligence, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.

Règles de refus prédéfinies pour la géolocalisation

• Une règle d'entrée avec des géolocalisations correspondantes sources CU, IR, KP, SY, XC et XD, une priorité 1005 et une action deny.

Pour en savoir plus sur les géolocalisations, consultez la section Objets de géolocalisation.

Règles "goto-next" de priorité la plus faible possible

Vous ne pouvez ni modifier, ni supprimer les règles suivantes :

• Une règle de sortie avec la plage IPv6 de destination ::/0, une priorité de 2147483644 et une action goto_next.

• Une règle d'entrée avec la plage IPv6 source ::/0, une priorité 2147483645 et une action goto_next.

• Une règle de sortie avec la plage IPv4 de destination 0.0.0.0/0, une priorité 2147483646 et une action goto_next.

• Une règle d'entrée avec la plage IPv4 source 0.0.0.0/0, une priorité 2147483647 et une action goto_next.

Étapes suivantes

• Modifier les règles prédéfinies Pour en savoir plus, consultez les sections Mettre à jour une règle de stratégie de pare-feu réseau mondiale, Mettre à jour une règle de stratégie de pare-feu réseau régionale et Mettre à jour une règle de stratégie de pare-feu hiérarchique.
• Ajoutez vos propres règles. Pour en savoir plus, consultez Créer une stratégie de pare-feu de réseau au niveau mondial, Créer une stratégie de pare-feu de réseau régionale et Créer une stratégie de pare-feu.