Présentation des règles et des stratégies de pare-feu

Les stratégies de pare-feu vous permettent de regrouper plusieurs règles de pare-feu et de mise en miroir afin de pouvoir les mettre à jour en une seule fois, efficacement contrôlées par les rôles IAM (Identity and Access Management). Pour en savoir plus sur les stratégies de pare-feu, consultez Présentation des stratégies de pare-feu.

Les règles de stratégie de pare-feu vous permettent de refuser ou d'autoriser explicitement des connexions, tandis que les règles de mise en miroir vous permettent de filtrer le trafic que vous souhaitez mettre en miroir.

Ce document décrit les stratégies de pare-feu qui comportent des règles de mise en miroir et leurs composants.

Créer des stratégies de pare-feu

Vous pouvez créer une règle de mise en miroir dans les stratégies de pare-feu réseau au niveau mondial. Les stratégies de pare-feu réseau mondiales contiennent des règles de mise en miroir qui peuvent explicitement mettre en miroir ou non le trafic défini. Pour savoir comment créer ces stratégies et les associer au réseau, consultez Utiliser des stratégies et des règles de pare-feu de réseau globales.

Une stratégie de pare-feu peut inclure des règles de pare-feu et des règles de mise en miroir de paquets. Toutefois, ces règles sont indépendantes et évaluées séparément. Cela signifie que les règles de pare-feu et de mise en miroir de paquets peuvent avoir la même priorité. Pour en savoir plus, consultez Ordre d'évaluation des stratégies et des règles de mise en miroir.

Règles de mise en miroir

Packet Mirroring, un service d'intégration de la sécurité réseau hors bande, utilise des règles de mise en miroir de paquets pour spécifier le trafic mis en miroir dans le réseau du consommateur. Ce trafic mis en miroir est ensuite envoyé au groupe de déploiement dans le réseau du producteur. Pour mettre en miroir le trafic, vous devez d'abord créer une règle de mise en miroir de paquets dans une stratégie de pare-feu réseau au niveau mondial.

Composants des règles de mise en miroir

Les règles de mise en miroir fonctionnent généralement de la même manière que la stratégie de pare-feu, à quelques différences près, qui sont décrites dans les sections suivantes.

Priorité

La priorité d'une règle de mise en miroir est un entier compris entre 0 et 2 147 483 547 (inclus). Des entiers plus petits indiquent des priorités plus élevées. La priorité d'une règle de mise en miroir est semblable à la priorité d'une règle de pare-feu.

Action en cas de correspondance

Les règles de mise en miroir déterminent si les paquets de données d'entrée ou de sortie sont mis en miroir. Une règle de mise en miroir peut avoir l'une des actions suivantes :

Pour une règle de mise en miroir de paquets, les actions suivantes sont acceptées :
- MIRROR : le trafic correspondant est mis en miroir et acheminé vers le groupe de déploiement.
- DO_NOT_MIRROR : le trafic correspondant n'est pas mis en miroir et l'évaluation des autres règles de pare-feu de mise en miroir de paquets est ignorée. Les règles DO_NOT_MIRROR permettent de filtrer de manière précise les flux qui n'ont pas besoin d'être mis en miroir.
- GOTO_NEXT : action que vous pouvez utiliser pour déléguer l'évaluation de la connexion à des niveaux inférieurs. La règle de mise en miroir permet le traitement des règles suivantes si l'une des conditions suivantes est remplie :
  - Si cette action est goto_next, l'évaluation passe à la règle suivante. Par conséquent, plusieurs règles goto_next n'affectent pas le comportement des autres règles.
  - Si le trafic entrant ne correspond à aucune règle existante, le système applique par défaut une action goto_next. Cela signifie que le niveau de règle actuel n'a pas trouvé d'action pertinente. L'évaluation se poursuit donc au niveau inférieur suivant.
  Remarque : Les règles de niveau inférieur ne peuvent pas remplacer une règle de niveau supérieur dans la hiérarchie des ressources. Cela permet aux administrateurs de l'organisation de gérer les règles critiques de manière centralisée.
Une règle de mise en miroir avec une action mirror doit faire référence à un groupe de profils de sécurité contenant un profil de sécurité CUSTOM_MIRRORING.

Une règle de sortie ayant une action "allow" permet à une instance d'envoyer du trafic vers les destinations spécifiées dans la règle. Le trafic sortant peut être refusé par des règles de pare-feu de refus de priorité supérieure. Google Cloud bloque ou limite également certains types de trafic.

Après avoir ajouté la règle de mise en miroir aux stratégies, vous l'associez à votre réseau pour l'appliquer. Pour savoir comment créer et associer une règle de mise en miroir, consultez Créer et gérer des règles de mise en miroir.

Protocoles et ports

Comme pour les règles de pare-feu, vous devez spécifier une ou plusieurs contraintes de protocole et de port lorsque vous créez une règle de mise en miroir. Lorsque vous indiquez TCP ou UDP dans une règle de mise en miroir, vous pouvez spécifier le protocole, le protocole et un port de destination, ou le protocole et une plage de ports de destination. Vous ne pouvez pas spécifier uniquement un port ou une plage de ports. De plus, vous ne pouvez spécifier que des ports de destination. Les règles basées sur les ports sources ne sont pas acceptées.

Vous pouvez utiliser les noms de protocoles suivants dans les règles de mise en miroir : tcp, udp, icmp (pour IPv4 ICMP), esp, ah, sctp et ipip. Pour tous les autres protocoles, utilisez les numéros de protocole IANA. De nombreux protocoles ont les mêmes nom et numéro dans IPv4 et IPv6, ce qui n'est pas le cas de certains protocoles comme ICMP. Pour spécifier le protocole ICMP IPv4, utilisez icmp ou le numéro de protocole 1. Pour spécifier le protocole ICMP IPv6, utilisez le numéro de protocole 58.

Les règles de mise en miroir ne permettent pas de spécifier des types et des codes ICMP, mais uniquement le protocole. Le protocole IPv6 Hop-by-Hop n'est pas compatible avec les règles de mise en miroir. Si vous ne spécifiez pas de paramètres de protocole et de port, la règle s'applique à tous les protocoles et ports de destination.

Direction

Direction dans laquelle la règle de mise en miroir s'applique. Il peut s'agir de INGRESS ou de EGRESS.

INGRESS : la direction entrante fait référence aux connexions entrantes envoyées depuis des sources spécifiques vers des cibles Google Cloud . Les règles Ingress#39;entrée s'appliquent aux paquets entrants, où la destination des paquets est la cible.

Une règle d'entrée ayant une action "deny" protège toutes les instances en bloquant leurs connexions entrantes. L'accès entrant peut être autorisé par une règle de priorité supérieure. Un réseau par défaut créé automatiquement inclut des règles de pare-feu VPC (Virtual Private Cloud) préremplies qui autorisent l'entrée pour certains types de trafic.
EGRESS : la direction sortante correspond au trafic sortant envoyé depuis une cible vers une destination. Les règles de sortie s'appliquent aux paquets pour les nouvelles connexions où la source du paquet est la cible.