Configurer une stratégie de pare-feu de réseau mondial pour autoriser le trafic sortant vers un nom de domaine complet

Découvrez comment créer et configurer une stratégie de pare-feu de réseau mondial pour autoriser le trafic de sortie vers un nom de domaine complet spécifique à l'aide de la console Google Cloud . La stratégie de pare-feu bloque tout le reste du trafic de sortie provenant de votre réseau. Ce guide de démarrage rapide permet de créer un réseau cloud privé virtuel (VPC) avec un sous-réseau, de créer une instance de machine virtuelle (VM) dans le réseau VPC, de configurer une stratégie de pare-feu utilisant des règles de sortie, puis de tester la stratégie de pare-feu de la VM.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. Assurez-vous de disposer du rôle d'administrateur de réseaux Compute (roles/compute.networkAdmin).
  9. Assurez-vous de connaître les concepts liés aux stratégies de pare-feu et aux règles de stratégie de pare-feu.
  10. Assurez-vous de connaître la tarification de Cloud NGFW. Pour en savoir plus, consultez la page Tarifs de Cloud NGFW.

    11. Créer un réseau VPC personnalisé avec un sous-réseau IPv4

    Créez un réseau VPC en mode personnalisé avec un sous-réseau IPv4.

    1. Dans la console Google Cloud , accédez à la page Réseaux VPC.

      Accéder aux réseaux VPC

    2. Cliquez sur Créer un réseau VPC.

    3. Dans le champ Nom, saisissez vpc-fw-policy-egress.

    4. Dans le champ Mode de création de sous-réseau, sélectionnez Personnalisé.

    5. Dans la section Nouveau sous-réseau, spécifiez les paramètres de configuration de sous-réseau suivants :

      • Nom : saisissez subnet-1.
      • Région : sélectionnez us-central1.
      • Plage IPv4 : saisissez 10.0.0.0/24.

    6. Cliquez sur OK.

    7. Cliquez sur Créer.

    Créer une VM

    Créez une VM dans le sous-réseau que vous avez configuré à la section précédente.

    1. Dans la console Google Cloud , accédez à la page Créer une instance.

      Accéder à la page Créer une instance

    2. Dans le volet Configuration de la machine, procédez comme suit :

      1. Dans le champ Nom, saisissez instance-1-us.
      2. Pour Région, sélectionnez us-central1 (Iowa).

    3. Dans le menu de navigation, cliquez sur Mise en réseau.

      1. Dans la section Interfaces réseau, cliquez sur default et spécifiez les paramètres de configuration suivants :
        • Réseau : vpc-fw-policy-egress
        • Sous-réseau : subnet-1 IPv4 (10.0.0.0/24)
        • Adresse IPv4 externe : Aucune
      2. Cliquez sur OK.

    4. Cliquez sur Créer.

    Créer un routeur Cloud Router et une passerelle Cloud NAT

    Dans la section précédente, vous avez créé une VM sans adresse IP externe. Pour permettre à la VM d'accéder à l'Internet public, créez un routeur Cloud Router et une passerelle Cloud NAT pour la même région et le même sous-réseau que ceux où vous avez créé votre VM.

    1. Dans la console Google Cloud , accédez à la page Cloud NAT.

      Accédez à Cloud NAT

    2. Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.

      Remarque : S'il s'agit de la première passerelle Cloud NAT que vous créez, cliquez sur Premiers pas. Si vous disposez déjà de passerelles, Google Cloudaffiche le bouton Créer une passerelle Cloud NAT. Pour créer une autre passerelle, cliquez sur Créer une passerelle Cloud NAT.

    3. Dans le champ Nom de la passerelle, saisissez fw-egress-nat-gw.

    4. Dans le champ Type de NAT, sélectionnez Publique.

    5. Dans la section Sélectionner le routeur Cloud Router, spécifiez les paramètres de configuration suivants :

      • Réseau : sélectionnez vpc-fw-policy-egress.
      • Région : sélectionnez us-central1 (Iowa).
      • Cloud Router : cliquez sur Créer un routeur.
        1. Dans le champ Nom, saisissez fw-egress-router.
        2. Cliquez sur Créer.

    6. Cliquez sur Créer.

    Créer une stratégie de pare-feu de réseau mondial pour autoriser le tunneling TCP IAP

    Pour autoriser le tunneling Identity-Aware Proxy pour les VM de votre réseau, créez une stratégie de pare-feu de réseau mondial et ajoutez-y une règle de pare-feu. IAP autorise un accès administrateur aux VM.

    La règle de pare-feu doit présenter les propriétés suivantes :

    • Elle s'applique à toutes les VM que vous souhaitez rendre accessibles à l'aide du transfert TCP d'IAP.
    • Elle autorise le trafic entrant à partir de la plage IP 35.235.240.0/20. Cette plage contient toutes les adresses IP qu'IAP utilise pour le transfert TCP.
    • Elle autorise la connexion à tous les ports que vous souhaitez rendre accessible à l'aide du transfert TCP d'IAP, par exemple, le port 22 pour SSH.

    Pour activer l'accès à IAP à toutes les VM du réseau vpc-fw-policy-egress, procédez comme suit :

    1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

      Accéder aux stratégies de pare-feu

    2. Cliquez sur Créer une stratégie de pare-feu.

    3. Dans la section Configurer la stratégie, pour le Nom de la stratégie, saisissez fw-egress-policy.

    4. Sous Champ d'application du déploiement, sélectionnez Global, puis cliquez sur Continuer.

    5. Pour créer des règles pour votre stratégie, dans la section Ajouter des règles, cliquez sur Ajouter une règle.

      1. Dans le champ Priorité, saisissez 100.
      2. Pour le Sens du trafic, sélectionnez Entrée.
      3. Pour l'option Action en cas de correspondance, sélectionnez Autoriser.
      4. Pour le champ Journaux, sélectionnez Activé.
      5. Dans la section Cible, pour le champ Type de cible, sélectionnez Toutes les instances du réseau.
      6. Dans la section Source, sous Plages d'adresses IP, saisissez 35.235.240.0/20.
      7. Dans la section Protocoles et ports, sélectionnez Protocoles et ports spécifiés.
      8. Cochez la case TCP et, pour le champ Ports, saisissez 22.
      9. Cliquez sur Créer.

    6. Cliquez sur Continuer.

    7. Pour associer le réseau VPC à la stratégie, dans la section Associer la stratégie à des réseaux VPC, cliquez sur Associer.

    8. Cochez la case vpc-fw-policy-egress, puis cliquez sur Associer.

    9. Cliquez sur Continuer.

    10. Cliquez sur Créer.

    Ajouter une règle de pare-feu pour refuser le trafic de sortie vers toutes les destinations

    Pour refuser le trafic de sortie vers toutes les destinations, ajoutez une règle de pare-feu à fw-egress-policy.

    1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

      Accéder aux stratégies de pare-feu

    2. Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-egress-policy.

    3. Cliquez sur Créer une règle.

    4. Dans le champ Priorité, saisissez 700.

    5. Pour le champ Sens du trafic, sélectionnez Sortie.

    6. Dans le champ Action en cas de correspondance, sélectionnez Refuser.

    7. Pour le champ Journaux, sélectionnez Activé.

    8. Dans la section Destination, pour le champ Plages d'adresses IP, saisissez 0.0.0.0/0.

    9. Cliquez sur Créer.

    Ajouter une règle de pare-feu pour autoriser le trafic sortant vers un nom de domaine complet spécifique uniquement

    Pour autoriser le trafic sortant vers un nom de domaine complet spécifique, ads.google.com, ajoutez une règle de pare-feu dans fw-egress-policy.

    1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

      Accéder aux stratégies de pare-feu

    2. Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-egress-policy.

    3. Cliquez sur Créer une règle.

    4. Dans le champ Priorité, saisissez 600.

    5. Pour le champ Sens du trafic, sélectionnez Sortie.

    6. Pour l'option Action en cas de correspondance, sélectionnez Autoriser.

    7. Pour le champ Journaux, sélectionnez Activé.

    8. Pour le champ Noms de domaine complets de la section Destination, saisissez ads.google.com.

    9. Cliquez sur Créer.

    Tester la stratégie de pare-feu de réseau au niveau mondial

    Après avoir configuré la stratégie de pare-feu réseau au niveau mondial, procédez comme suit pour la tester :

    1. Dans la console Google Cloud , accédez à la page Instances de VM.

      Accéder à la page Instances de VM

    2. Dans la colonne Connecter de la VM instance-1-us, cliquez sur SSH.

    3. Dans la boîte de dialogue SSH dans votre navigateur, cliquez sur Autoriser et attendez que la connexion soit établie.

    4. Pour vérifier que le trafic de sortie vers https://ads.google.com est autorisé, exécutez la commande suivante :

        curl -I https://ads.google.com

      La commande précédente renvoie les informations d'en-tête de https://ads.google.com, ce qui signifie que les connexions de sortie sont autorisées.

    5. Pour vérifier que le trafic de sortie est bloqué vers toute autre destination, spécifiez un nom de domaine complet et exécutez la commande suivante :

        curl -m 2 -I https://mail.yahoo.com

      La commande ci-dessus renvoie un message Connection timed out, ce qui est normal, car vous avez créé une règle de pare-feu pour refuser le trafic sortant vers toutes les destinations, à l'exception de https://ads.google.com.

    Afficher les journaux

    Vous pouvez vérifier que les règles de pare-feu ont été appliquées au trafic de sortie en accédant aux journaux. Pour afficher les détails du journal, procédez comme suit :

    1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

      Accéder aux stratégies de pare-feu

    2. Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-egress-policy.

    3. Dans la colonne Nombre d'appels, cliquez sur le numéro de la règle créée dans la section Créer une stratégie de pare-feu de réseau au niveau mondial. La page Explorateur de journaux s'affiche.

    4. Pour afficher la règle de pare-feu appliquée au trafic de sortie, développez le journal individuel. Vous pouvez afficher les détails de la connexion, de la disposition, de l'emplacement distant et de la règle en développant les sections correspondantes.

    Effectuer un nettoyage

    Pour éviter que les ressources utilisées dans ce guide de démarrage rapide ne soient facturées sur votre compte Google Cloud , supprimez le projet contenant les ressources, ou conservez le projet et supprimez les ressources individuelles.

    Pour supprimer les ressources créées dans ce guide de démarrage rapide, procédez comme suit :

    Supprimer la stratégie de pare-feu

    1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

      Accéder aux stratégies de pare-feu

    2. Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-egress-policy.

    3. Cliquez sur l'onglet Associations.

    4. Cochez la case correspondant à vpc-fw-policy-egress, puis cliquez sur Supprimer l'association.

    5. Dans la boîte de dialogue Supprimer une association de stratégie de pare-feu, cliquez sur Supprimer.

    6. Cliquez sur Supprimer.

    7. Dans la boîte de dialogue Supprimer une stratégie de pare-feu, cliquez sur Supprimer.

    Supprimer la VM

    1. Dans la console Google Cloud , accédez à la page Instances de VM.

      Accéder à la page Instances de VM

    2. Cochez la case de la VM instance-1-us.

    3. Cliquez sur Supprimer.

    4. Dans la boîte de dialogue Supprimer instance-1-us, cliquez sur Supprimer.

    Supprimer la passerelle Cloud NAT et le routeur Cloud Router

    1. Dans la console Google Cloud , accédez à la page Routeurs cloud.

      Accéder aux routeurs cloud

    2. Sélectionnez la case à cocher correspondant à fw-egress-router.

    3. Cliquez sur Supprimer.

    4. Dans la boîte de dialogue Supprimer fw-egress-router, cliquez sur Supprimer.

    Lorsque vous supprimez un routeur Cloud Router, la passerelle Cloud NAT associée est également supprimée.

    Supprimer le réseau VPC et ses sous-réseaux

    1. Dans la console Google Cloud , accédez à la page Réseaux VPC.

      Accéder aux réseaux VPC

    2. Dans la colonne Nom, cliquez sur vpc-fw-policy-egress.

    3. Cliquez sur Supprimer le réseau VPC.

    4. Dans la boîte de dialogue Supprimer un réseau, cliquez sur Supprimer.

    Lorsque vous supprimez un réseau VPC, ses sous-réseaux sont également supprimés.

    Étapes suivantes