Les Règles de pare-feu sont un ensemble de règles de pare-feu qui vous permettent de contrôler le flux de trafic entrant et sortant dans un réseau VPC. Les règles de stratégie de pare-feu vous permettent de refuser ou d'autoriser explicitement les connexions.
Dans l'intégration de la sécurité réseau intrabande, vous utilisez des règles et des stratégies de pare-feu hiérarchiques et de réseau au niveau mondial (recommandées) pour rediriger le trafic réseau. Le trafic transite par le groupe de points de terminaison d'interception du réseau VPC, le groupe de déploiement d'interception du producteur, puis vers les ressources de calcul du producteur pour l'inspection du trafic.
Cette page décrit les règles et les stratégies de pare-feu utilisées pour l'inspection des paquets.
Stratégies et règles de pare-feu
Pour rediriger le trafic vers le groupe de points de terminaison d'interception, vous pouvez créer des règles et des stratégies de pare-feu réseau ou hiérarchiques.
Lorsque vous créez une stratégie de pare-feu, vous devez créer une règle de pare-feu avec l'action APPLY_SECURITY_PROFILE_GROUP. La règle doit faire référence au groupe de profils de sécurité contenant l'action custom-intercept-profile.
Priorité
La priorité de la règle de pare-feu doit être un entier compris entre 0 et 2 147 483 547 (inclus). Des entiers plus petits indiquent des priorités plus élevées. Pour en savoir plus, consultez Priorité des règles de pare-feu.
Action en cas de correspondance
Une règle d'une stratégie de pare-feu peut avoir l'une des quatre actions suivantes :
- L'action
allowautorise le trafic et arrête toute évaluation approfondie des règles. - L'action
denyrefuse le trafic et arrête toute évaluation approfondie des règles. - L'action
apply_security_profile_groupintercepte de manière transparente le trafic et l'envoie au point de terminaison de pare-feu configuré ou au groupe de points de terminaison d'interception pour inspection. La décision d'autoriser ou de refuser le paquet dépend alors du point de terminaison de pare-feu (ou du groupe de points de terminaison d'interception) et du profil de sécurité configuré. Dans les deux cas, le processus d'évaluation de la règle s'arrête.
Pour en savoir plus, consultez Ordre d'évaluation des stratégies et des règles.
Sortie et entrée
Une règle d'entrée ayant une action deny protège toutes les instances en bloquant leurs connexions entrantes. L'accès entrant peut être autorisé par une règle de priorité supérieure.
Une règle de sortie ayant une action allow permet à une instance d'envoyer du trafic vers les destinations spécifiées dans la règle. Le trafic sortant peut être refusé par des règles de pare-feu de refus de priorité supérieure. Google Cloud bloque ou limite également certains types de trafic.
Une fois que vous avez ajouté la règle de pare-feu aux stratégies, vous associez la stratégie de pare-feu à votre réseau. Pour en savoir plus, consultez Créer et gérer des règles.
Protocoles et ports
Comme pour les règles de pare-feu, vous devez spécifier une ou plusieurs contraintes de protocole et de port au moment de la création d'une règle de pare-feu. Lorsque vous indiquez TCP ou UDP dans une règle de pare-feu, vous pouvez spécifier le protocole, le protocole et un port de destination, ou le protocole et une plage de ports de destination. Vous ne pouvez pas spécifier uniquement un port ou une plage de ports. De plus, vous ne pouvez spécifier que des ports de destination. Les règles basées sur les ports sources ne sont pas acceptées.
Vous pouvez utiliser les noms de protocoles suivants dans les règles de pare-feu :
tcpudpicmp(pour ICMP IPv4)espahsctpipip
Pour tous les autres protocoles, utilisez les numéros de protocole IANA.
Pour en savoir plus, consultez Protocoles et ports des règles de pare-feu.
Direction
Direction dans laquelle la règle de pare-feu s'applique. Il peut s'agir de INGRESS ou EGRESS.
INGRESS: la direction d'entrée fait référence aux connexions entrantes envoyées depuis des sources spécifiques vers des cibles Google Cloud . Les règles Ingress#39;entrée s'appliquent aux paquets entrants, où la destination des paquets est la cible.Une règle d'entrée ayant une action "deny" protège toutes les instances en bloquant leurs connexions entrantes. L'accès entrant peut être autorisé par une règle de priorité supérieure. Un réseau par défaut créé automatiquement inclut des règles de pare-feu Virtual Private Cloud préremplies qui autorisent l'entrée pour certains types de trafic.
EGRESS: la direction sortante correspond au trafic sortant envoyé depuis une cible vers une destination. Les règles de sortie s'appliquent aux paquets pour les nouvelles connexions où la source du paquet est la cible.