Cette page explique comment les règles de stratégie de pare-feu sécurisent votre réseau en autorisant ou en bloquant le trafic en fonction des données Google Threat Intelligence. Les données Google Threat Intelligence incluent des listes d'adresses IP basées sur les catégories suivantes :
- Nœuds de sortie Tor : Tor est un logiciel Open Source qui permet des communications anonymes. Pour exclure les utilisateurs qui masquent leur identité, bloquez les adresses IP des nœuds de sortie Tor (c'est-à-dire les points de terminaison au niveau desquels le trafic quitte le réseau Tor).
- Adresses IP malveillantes connues : adresses IP connues pour être à l'origine des attaques d'applications Web. Pour améliorer la stratégie de sécurité de votre application, bloquez ces adresses IP.
- Moteurs de recherche : adresses IP que vous pouvez autoriser afin d'activer l'indexation des sites.
- Plages d'adresses IP du cloud public : cette catégorie peut être bloquée pour éviter que des outils automatisés malveillants ne parcourent des applications Web, ou autorisée si votre service utilise d'autres clouds publics. Cette catégorie est également divisée en plusieurs sous-catégories, décrites ci-dessous :
- Correspond aux plages d'adresses IP utilisées par Amazon Web Services
- Correspond aux plages d'adresses IP utilisées par Microsoft Azure
- Plages d'adresses IP utilisées par Google Cloud
- Correspond aux plages d'adresses IP utilisées par les services Google
Les listes de données Google Threat Intelligence peuvent inclure des adresses IPv4, des adresses IPv6, ou les deux. Pour configurer Google Threat Intelligence dans vos règles de stratégie de pare-feu, utilisez les noms de listes Google Threat Intelligence prédéfinis en fonction de la catégorie que vous souhaitez autoriser ou bloquer. Ces listes sont constamment mises à jour, protégeant ainsi les services contre les nouvelles menaces sans étape de configuration supplémentaire. Les noms de liste valides sont les suivants.
| Nom de la liste | Description |
|---|---|
| Adresses IP malveillantes connues ( iplist-known-malicious-ips) |
Correspond aux adresses IP connues pour attaquer des applications Web |
| Robots d'exploration des moteurs de recherche ( iplist-search-engines-crawlers) |
Correspond aux adresses IP des robots d'exploration des moteurs de recherche |
| Nœuds de sortie TOR ( iplist-tor-exit-nodes) |
Correspond aux adresses IP des nœuds de sortie TOR |
| Adresses IP de cloud public ( iplist-public-clouds) |
Correspond aux adresses IP appartenant à des clouds publics |
| Clouds publics : AWS ( iplist-public-clouds-aws) |
Correspond aux plages d'adresses IP utilisées par Amazon Web Services |
| Clouds publics : Azure ( iplist-public-clouds-azure) |
Correspond aux plages d'adresses IP utilisées par Microsoft Azure |
| Clouds publics : Google Cloud ( iplist-public-clouds-gcp) |
Correspond aux plages d'adresses IP utilisées par les ressources client, telles que les VM Compute Engine et les clusters GKE. Ces plages incluent les plages d'adresses IP attribuées aux clients utilisées par tous les clients Google Cloud et ne sont pas limitées à votre propre projet ni à votre organisation. |
| Clouds publics – Services Google ( iplist-public-clouds-google-services) |
Correspond aux plages d'adresses IP utilisées pour l'accès aux API et au Web à tous les services Google, y compris Google Cloud, Google Workspace, Maps et YouTube. Cette liste couvre l'infrastructure de service appartenant à Google, comme le DNS public de Google, et représente le sous-ensemble des plages d'adresses IP publiques de Google distinct des adresses IP attribuées aux clients dans la liste Google Cloud . |
| Fournisseurs de VPN ( iplist-vpn-providers) |
Correspond aux adresses IP appartenant à des fournisseurs de VPN dont la réputation est faible |
| Proxys anonymes ( iplist-anon-proxies) |
Correspond aux adresses IP appartenant à des proxys anonymes ouverts |
| Sites de minage de cryptomonnaie ( iplist-crypto-miners) |
Correspond aux adresses IP appartenant à des sites de minage de cryptomonnaie |
Utiliser Google Threat Intelligence avec d'autres filtres de règles de stratégie de pare-feu
Pour définir une règle de stratégie de pare-feu avec Google Threat Intelligence, procédez comme suit :
Pour les règles de sortie, spécifiez la destination à l'aide d'une ou de plusieurs listes Google Threat Intelligence de destination.
Pour les règles d'entrée, spécifiez la source à l'aide d'une ou de plusieurs listes Google Threat Intelligence sources.
Vous pouvez configurer des listes Google Threat Intelligence pour les stratégies de pare-feu hiérarchiques, les stratégies de pare-feu réseau globales et les stratégies de pare-feu réseau régionales.
Vous pouvez utiliser ces listes avec d'autres composants de filtre des règles sources ou de destination.
Pour en savoir plus sur le fonctionnement des listes Google Threat Intelligence avec d'autres filtres sources dans les règles d'entrée, consultez les sections Sources des règles d'entrée dans les stratégies de pare-feu hiérarchiques et Sources des règles d'entrée dans les stratégies de pare-feu réseau.
Pour en savoir plus sur le fonctionnement des listes Google Threat Intelligence avec d'autres filtres de destination dans les règles de sortie, consultez Destinations pour les règles de sortie.
La journalisation du pare-feu est effectuée au niveau de la règle. Pour faciliter le débogage et l'analyse des effets de vos règles de pare-feu, n'incluez pas plusieurs listes Google Threat Intelligence dans une seule règle de pare-feu.
Vous pouvez ajouter plusieurs listes Google Threat Intelligence à une règle de stratégie de pare-feu. Chaque nom de liste inclus dans la règle compte pour un attribut, quel que soit le nombre d'adresses IP ou de plages d'adresses IP incluses dans cette liste. Par exemple, si vous avez inclus les noms de liste
iplist-tor-exit-nodes,iplist-known-malicious-ipsetiplist-search-engines-crawlersdans votre règle de stratégie de pare-feu, le nombre d'attributs de règle par stratégie de pare-feu est augmenté de trois. Pour en savoir plus sur le nombre d'attributs de règle, consultez Détails du nombre d'attributs de règle.
Créer des exceptions aux listes Google Threat Intelligence
Si vous disposez de règles qui s'appliquent à des listes Google Threat Intelligence, vous pouvez utiliser les techniques suivantes pour créer des règles d'exception applicables à certaines adresses IP dans une liste Google Threat Intelligence :
Règle de pare-feu d'autorisation sélective : supposons que vous ayez une règle de pare-feu d'entrée ou de sortie qui refuse les paquets depuis ou vers une liste Google Threat Intelligence. Pour autoriser les paquets depuis ou vers une adresse IP spécifique dans cette liste Google Threat Intelligence, créez une règle de pare-feu d'autorisation d'entrée ou de sortie séparée avec une priorité plus élevée et spécifiant l'adresse IP de l'exception en tant que source ou destination.
Règle de pare-feu de refus sélectif : supposons que vous ayez une règle de pare-feu d'entrée ou de sortie qui autorise les paquets depuis ou vers une liste Google Threat Intelligence. Pour refuser des paquets depuis ou vers une adresse IP spécifique dans cette liste Google Threat Intelligence, créez une règle de pare-feu de refus d'entrée ou de sortie avec une priorité plus élevée et spécifiant l'adresse IP de l'exception en tant que source ou destination.
Étapes suivantes
- Composants des règles de stratégie de pare-feu
- Objets de nom de domaine complet
- Groupes d'adresses pour les stratégies de pare-feu