Composants des règles de stratégie de pare-feu

Cette page décrit les composants des règles de pare-feu que vous créez dans l'une des stratégies de pare-feu suivantes qui s'appliquent à un réseau cloud privé virtuel (VPC) standard :

Pour en savoir plus sur les règles de pare-feu et les profils réseau RDMA (Remote Direct Memory Access), consultez Cloud NGFW pour les réseaux VPC RoCE.

Chaque règle de pare-feu s'applique soit aux connexions entrantes (entrée), soit aux connexions sortantes (sortie), mais pas aux deux. Lorsque vous créez une règle de stratégie de pare-feu, vous spécifiez les composants qui définissent le rôle de cette règle. En plus de la direction, vous pouvez spécifier la source, la destination et les caractéristiques de couche 4, telles que le protocole et le port de destination (si le protocole utilise des ports).

Priorité

Chaque règle d'une stratégie de pare-feu doit avoir une priorité unique.

Tenez compte des consignes suivantes lorsque vous attribuez une priorité à une règle de stratégie de pare-feu :

  • La priorité est un entier compris entre 0 et 2,147,483,547 inclus.
  • Dans une stratégie de pare-feu, chaque règle doit avoir un numéro de priorité unique. Les règles de stratégie de pare-feu n'ont pas de nom.
  • La priorité 0 est la plus élevée, tandis que la priorité 2,147,483,547 est la plus faible. La priorité diminue à mesure que le nombre augmente. Dans une stratégie de pare-feu, si un paquet correspond à plusieurs règles, seule la règle correspondante ayant la priorité la plus élevée est appliquée.

Prenons l'exemple suivant où deux règles de stratégie de pare-feu existent dans une stratégie de pare-feu réseau mondiale associée à votre réseau VPC :

  • Une règle d'entrée depuis les sources 0.0.0.0/0 (toute adresse IPv4) applicable à toutes les cibles, tous les protocoles et tous les ports de destination, ayant une action deny et une priorité de 1000.

  • Une règle d'entrée depuis les sources 0.0.0.0/0 (toute adresse IPv4) applicable à des cibles spécifiques avec le tag sécurisé tagKeys/123/tagValues/456 (clé de tag shortName role et valeur de tag webserver), pour le trafic sur TCP 80, avec une action allow.

La priorité de la seconde règle détermine si le trafic TCP sur le port 80 est autorisé pour les cibles webserver :

  • Si la priorité de la seconde règle est définie sur un nombre supérieur à 1000, sa priorité est inférieure. La première règle refusant tout le trafic est donc appliquée.

  • Si la priorité de la seconde règle est définie sur un nombre inférieur à 1000, sa priorité est supérieure. Un paquet arrivant pour webserver sur le port TCP 80 correspond d'abord à la deuxième règle. Le trafic est autorisé et le pare-feu cesse de rechercher d'autres règles. La première règle n'est jamais vérifiée pour ce paquet spécifique.

L'exemple précédent montre comment vous pouvez utiliser des priorités pour créer des règles allow sélectives et des règles deny globales pour mettre en œuvre une bonne pratique de sécurité de moindre privilège.

Action en cas de correspondance

Une règle d'une stratégie de pare-feu peut avoir l'une des quatre actions suivantes :

Paramètre d'action Description
allow

Autorise les paquets pour une nouvelle connexion. Arrête l'évaluation des règles dans la stratégie de pare-feu contenant la règle correspondante. N'évalue aucune autre règle de pare-feu.

Quel que soit le sens de la règle, si le protocole de paquet et le type de stratégie de pare-feu sont compatibles avec le suivi des connexions, une règle d'autorisation crée une entrée de table de suivi des connexions de pare-feu qui autorise les paquets entrants et sortants.

deny

Interdit les paquets pour une nouvelle connexion. Arrête l'évaluation des règles dans la stratégie de pare-feu qui contient la règle correspondante. N'évalue aucune autre règle de pare-feu.

Cloud NGFW recherche toujours une entrée dans la table de suivi des connexions de pare-feu avant d'évaluer les règles de pare-feu. Par conséquent, si une règle d'autorisation a créé une entrée dans la table de suivi des connexions, cette entrée est prioritaire.

apply_security_profile_group

Intercepte les paquets pour une nouvelle connexion et les envoie à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception. Arrête l'évaluation des règles dans la stratégie de pare-feu contenant la règle correspondante. N'évalue aucune autre règle de pare-feu.

Quel que soit le sens de la règle, si le protocole de paquet et le type de stratégie de pare-feu sont compatibles avec le suivi des connexions, une règle avec l'action apply_security_profile_group crée une entrée de table de suivi des connexions de pare-feu afin que les paquets entrants et sortants soient interceptés par le point de terminaison du pare-feu ou le groupe de points de terminaison d'interception.

Vous ne pouvez pas créer de règles avec l'action apply_security_profile_group dans les stratégies de pare-feu réseau régionales. Les stratégies de pare-feu système régionales ne sont pas compatibles avec les règles comportant cette action.

goto_next

Arrête l'évaluation des autres règles de la stratégie de pare-feu et évalue les règles de l'étape suivante de l' ordre d'évaluation des stratégies et des règles de pare-feu.

L'étape suivante de l'ordre d'évaluation des règles et des stratégies de pare-feu peut être l'évaluation des règles d'une autre stratégie de pare-feu ou des règles de pare-feu implicites.

Application

Vous pouvez décider si une règle de stratégie de pare-feu est appliquée ou non en définissant son état sur "Activé" ou "Désactivé". Vous définissez l'état d'application lorsque vous créez une règle ou lorsque vous mettez à jour une règle.

Si vous ne définissez pas d'état d'application lorsque vous créez une règle de pare-feu, la règle de pare-feu est automatiquement activée.

Protocols and ports

Comme pour les règles de pare-feu VPC, vous devez spécifier une ou plusieurs contraintes de protocole et de port au moment de la création d'une règle. Lorsque vous indiquez TCP ou UDP dans une règle, vous pouvez spécifier le protocole, le protocole et un port de destination, ou le protocole et une plage de ports de destination. Vous ne pouvez pas spécifier uniquement un port ou une plage de ports. De plus, vous ne pouvez spécifier que des ports de destination. Les règles basées sur les ports sources ne sont pas acceptées.

Vous pouvez utiliser les noms de protocoles suivants dans les règles de pare-feu : tcp, udp, icmp (pour IPv4 ICMP), esp, ah, sctp et ipip. Pour tous les autres protocoles, utilisez les numéros de protocole IANA.

De nombreux protocoles ont les mêmes nom et numéro dans IPv4 et IPv6, ce qui n'est pas le cas de certains protocoles comme ICMP. Pour spécifier le protocole ICMP IPv4, utilisez icmp ou le numéro de protocole 1. Pour spécifier le protocole ICMP IPv6, utilisez le numéro de protocole 58.

Les règles de pare-feu ne permettent pas de spécifier des types et des codes ICMP, mais uniquement le protocole.

Le protocole IPv6 Hop-by-Hop n'est pas compatible avec les règles de pare-feu.

Si vous ne spécifiez pas de paramètres de protocole et de port, la règle s'applique à tous les protocoles et ports de destination.

Journalisation

La journalisation des règles des stratégies de pare-feu fonctionne de la même manière que la journalisation des règles de pare-feu VPC, à l'exception des éléments suivants :

  • Le champ de référence inclut l'ID de la stratégie de pare-feu ainsi qu'un numéro indiquant le niveau de la ressource auquel la stratégie est associée. Par exemple, 0 signifie que la stratégie est appliquée à une organisation et 1 signifie qu'elle est appliquée à un dossier de premier niveau sous l'organisation.

  • Les journaux des règles des stratégies de pare-feu incluent un champ target_resource qui identifie les réseaux VPC auxquels la règle s'applique.

  • La journalisation ne peut être activée que pour les règles allow, deny et apply_security_profile_group. Elle ne peut pas être activée pour les règles goto_next.

  • Lorsque vous activez la journalisation pour une règle qui utilise l'action apply_security_profile_group, Cloud NGFW génère une seule entrée de journal lorsqu'il intercepte une session de trafic et redirige le trafic vers le point de terminaison du pare-feu pour une inspection approfondie des paquets. Cette entrée de journal confirme que la règle de pare-feu correspondait au trafic et qu'elle l'a redirigé vers le point de terminaison de pare-feu. Pour en savoir plus, consultez la présentation de la journalisation des règles de stratégie de pare-feu.

  • Le point de terminaison de pare-feu effectue une inspection approfondie des paquets, comme le service de détection et de prévention des intrusions et le service de filtrage des URL, et génère son propre ensemble de journaux. Ces journaux fournissent des informations détaillées sur les connexions au sein de la session interceptée, en listant les menaces ou les actions de filtrage d'URL détectées. Ces journaux d'inspection approfondie des paquets peuvent générer plusieurs entrées de journal par session.

Cible, source, destination

Les paramètres de cible, de source et de destination fonctionnent conjointement pour déterminer le champ d'application d'une règle de pare-feu.

  • Paramètres cibles : identifient les ressources auxquelles la règle de pare-feu s'applique.

  • Paramètres de source et de destination : définissez les critères de trafic. Vous pouvez spécifier les deux pour les règles d'entrée et de sortie. Les options valides pour les paramètres source et de destination dépendent des paramètres cibles et du sens de la règle de pare-feu.

Cibles

Le paramètre target type et un ou plusieurs paramètres target définissent les cibles d'une règle de pare-feu. Ces cibles d'une règle de pare-feu sont les ressources que la règle de pare-feu protège.

  • Si le type de cible est omis ou défini sur INSTANCES, la règle de pare-feu s'applique aux interfaces réseau des instances Compute Engine, y compris les nœuds Google Kubernetes Engine (GKE) et les instances de l'environnement flexible App Engine. Les règles d'entrée et de sortie sont acceptées.

    Pour spécifier les interfaces réseau de VM auxquelles la règle de pare-feu s'applique, utilisez les paramètres cibles :

  • Si vous définissez le type de cible sur INTERNAL_MANAGED_LB, la règle de pare-feu s'applique aux proxys Envoy gérés qui gèrent le trafic pour les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes. Seules les règles d'entrée sont acceptées.

    • Si vous omettez le paramètre target forwarding rules (règles de transfert cibles), la règle de pare-feu s'applique aux cibles d'équilibreur de charge les plus larges.

    • Pour limiter la règle de pare-feu à un seul équilibreur de charge, utilisez le paramètre des règles de transfert cible. Pour en savoir plus, consultez Cibles spécifiques.

Cibles d'instances les plus larges

Les cibles d'instance les plus larges dépendent du type de stratégie de pare-feu :

  • Cibles d'instance les plus larges pour une règle dans une stratégie de pare-feu hiérarchique : toutes les interfaces réseau de VM d'un sous-réseau dans n'importe quelle région de n'importe quel réseau VPC situé dans un projet sous le nœud Resource Manager (dossier ou organisation) associé à la stratégie de pare-feu hiérarchique.

  • Cibles d'instance les plus larges pour une règle dans une stratégie de pare-feu de réseau mondial : toutes les interfaces réseau de VM dans un sous-réseau de n'importe quelle région du réseau VPC associé à la stratégie de pare-feu de réseau mondial.

  • Cibles d'instance les plus larges pour une règle dans une stratégie de pare-feu de réseau régionale : toutes les interfaces réseau de VM d'un sous-réseau de la région et du réseau VPC associés à la stratégie de pare-feu de réseau régionale.

Cibles d'équilibreur de charge les plus larges

Les cibles d'équilibreur de charge les plus larges dépendent des types de stratégies de pare-feu suivants :

  • Cibles d'équilibreur de charge les plus larges pour une règle dans une stratégie de pare-feu réseau globale : toutes les règles de transfert pour les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes dans un sous-réseau de n'importe quelle région du réseau VPC associé à la stratégie de pare-feu réseau globale.

  • Cibles d'équilibreur de charge les plus larges pour une règle dans une stratégie de pare-feu réseau régional : toutes les règles de transfert pour les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes dans un sous-réseau de la région et du réseau VPC associés à la stratégie de pare-feu réseau régional.

Cibles spécifiques

Le tableau suivant liste les paramètres cibles, les stratégies de pare-feu compatibles avec les règles comportant chaque paramètre et les types de cibles de règles acceptés. Si vous ne spécifiez pas de paramètre cible, la règle utilise les cibles d'instance les plus larges ou les cibles d'équilibreur de charge les plus larges, en fonction du type de cible de la règle. La coche  indique que le paramètre est compatible, et le symbole  indique qu'il ne l'est pas.

Paramètre de cible Compatibilité avec les stratégies de pare-feu Compatibilité des types de cibles de règles
Hiérarchique Réseau mondial Réseau régional INSTANCES INTERNAL_MANAGED_LB
Ressources du réseau VPC cible

Liste d'un ou plusieurs réseaux VPC spécifiés à l'aide du paramètre target-resources. Cette liste limite les cibles d'instance les plus larges aux interfaces réseau de VM qui se trouvent dans au moins l'un des réseaux VPC spécifiés.

Comptes de service cibles

Liste d'un ou plusieurs comptes de service spécifiés à l'aide du paramètre target-service-accounts. Cette liste limite les cibles d'instance les plus larges aux interfaces réseau de VM appartenant à des instances de VM associées à au moins l'un des comptes de service spécifiés.

Cibler les valeurs de tag sécurisées à partir d'une clé de tag avec des données sur l'objectif du réseau

Règle qui utilise le paramètre target-secure-tags contenant une liste d'une ou plusieurs valeurs de tag à partir d'une clé de tag dont purpose-data spécifie un seul réseau VPC.

Cette liste limite les cibles d'instance les plus larges aux interfaces réseau de VM qui répondent aux deux critères suivants :

  • L'interface se trouve dans le réseau VPC qui correspond à purpose-data de la clé de tag.
  • L'interface appartient à une VM associée à la valeur du tag.

Pour en savoir plus, consultez Tags sécurisés pour les pare-feu.

Cibler les valeurs de tags sécurisés à partir d'une clé de tag avec des données sur l'objectif de l'organisation

Règle qui utilise le paramètre target-secure-tags contenant une liste d'une ou plusieurs valeurs de tag à partir d'une clé de tag dont purpose-data est organization=auto.

Cette liste limite les cibles d'instance les plus larges aux interfaces réseau de VM qui répondent aux deux critères suivants :

  • L'interface se trouve dans n'importe quel réseau VPC de l'organisation.
  • L'interface appartient à une VM associée à la valeur du tag.

Pour en savoir plus, consultez Tags sécurisés pour les pare-feu.

Règles de transfert de cible

Une seule règle de transfert pour un équilibreur de charge d'application interne ou un équilibreur de charge réseau proxy interne spécifiée au format des règles de transfert cibles. Ce paramètre permet de limiter les cibles d'équilibreur de charge les plus larges à un équilibreur de charge d'application interne ou à un équilibreur de charge réseau proxy interne spécifique.

Combinaisons de cibles spécifiques

Les règles compatibles avec le paramètre target-resources peuvent le combiner avec un autre paramètre cible pour créer une combinaison de paramètres cibles. Le tableau suivant répertorie les combinaisons de paramètres cibles acceptées, les stratégies de pare-feu compatibles avec les règles comportant chaque paramètre et les types de cibles de règles acceptés. Si vous ne spécifiez pas de paramètre cible, la règle utilise les cibles d'instance les plus larges ou les cibles d'équilibreur de charge les plus larges, en fonction du type de cible de la règle.

La coche  indique que le paramètre est compatible, et le symbole  indique qu'il ne l'est pas.

Combinaison de paramètres cibles Compatibilité avec les stratégies de pare-feu Compatibilité des types de cibles de règles
Hiérarchique Réseau mondial Réseau régional INSTANCES INTERNAL_MANAGED_LB
Combinaison de ressources de réseau VPC cible et de comptes de service cibles

Une règle qui utilise à la fois les paramètres target-resources et target-service-accounts.

Cette combinaison limite les cibles d'instance les plus larges aux interfaces réseau de VM qui répondent aux deux critères suivants :

  • L'interface se trouve dans au moins l'un des réseaux VPC spécifiés dans target-resources.
  • L'interface appartient à une instance de VM associée à au moins l'un des comptes de service spécifiés.
Combinaison des ressources du réseau VPC cible et des valeurs des tags sécurisés cibles

Une règle qui utilise à la fois les paramètres target-resources et target-secure-tags. Les valeurs de balise doivent provenir d'une clé de balise dont purpose-data est organization=auto.

Cette combinaison limite les cibles d'instance les plus larges aux interfaces réseau de VM qui répondent aux deux critères suivants :

  • L'interface se trouve dans au moins l'un des réseaux VPC spécifiés dans target-resources.
  • L'interface appartient à une VM associée à la valeur du tag.

Format des règles de transfert cibles

Lorsque vous définissez le type de cible d'une règle de pare-feu sur INTERNAL_MANAGED_LB, le paramètre target-forwarding-rules accepte les valeurs aux formats suivants :

  • Pour les équilibreurs de charge d'application internes régionaux et les équilibreurs de charge réseau proxy internes régionaux :

    • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
    • projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
  • Pour les équilibreurs de charge d'application internes interrégionaux et les équilibreurs de charge réseau proxy internes interrégionaux :

    • https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
    • projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME

Cibles et adresses IP pour les règles d'entrée

Lorsque le type de cible d'une règle de pare-feu est omis ou défini sur INSTANCES, la règle s'applique aux paquets qui sont acheminés vers les interfaces réseau des VM cibles.

  • Si la règle de pare-feu d'entrée inclut une plage d'adresses IP de destination, la destination du paquet doit correspondre à l'une des plages d'adresses IP de destination explicitement définies.

  • Si la règle de pare-feu d'entrée n'inclut pas de plage d'adresses IP de destination, la destination du paquet doit correspondre à l'une des adresses IP suivantes de chaque VM cible :

    • L'adresse IPv4 interne principale attribuée à la carte d'interface réseau de l'instance.

    • Toutes les plages d'adresses IP d'alias configurées sur la carte d'interface réseau de l'instance.

    • L'adresse IPv4 externe associée à la carte d'interface réseau de l'instance.

    • Si IPv6 est configuré sur le sous-réseau, l'une des adresses IPv6 attribuées à la carte d'interface réseau.

    • Une adresse IP interne ou externe associée à une règle de transfert utilisée pour l'équilibrage de charge passthrough, où l'instance est un backend pour un équilibreur de charge réseau passthrough interne ou un équilibreur de charge réseau passthrough externe.

    • Une adresse IP externe ou interne associée à une règle de transfert utilisée pour le transfert de protocole, où l'instance est référencée par une instance cible.

    • Une adresse IP dans la plage de destination d'une route statique personnalisée utilisant l'instance comme VM de saut suivant (next-hop-instance ou next-hop-address).

    • Une adresse IP dans la plage de destination d'une route statique personnalisée utilisant un équilibreur de charge réseau passthrough interne (next-hop-ilb) comme saut suivant si la VM est un backend pour cet équilibreur de charge.

Lorsque vous définissez le type de cible d'une règle de stratégie de pare-feu sur INTERNAL_MANAGED_LB, vous devez laisser le paramètre de destination de la règle non défini. La règle du règlement du pare-feu s'applique aux paquets dont les adresses IP de destination correspondent aux adresses IP des règles de transfert des équilibreurs de charge d'application internes et des équilibreurs de charge réseau proxy internes ciblés.

Cibles et adresses IP pour les règles de sortie

Lorsque le type de cible d'une règle de pare-feu est omis ou défini sur INSTANCES, la règle s'applique aux paquets émis par les interfaces réseau des VM cibles.

  • Si le transfert IP est désactivé sur la VM cible (par défaut), celle-ci ne peut émettre des paquets qu'avec les sources suivantes :

    • L'adresse IPv4 interne principale de la carte d'interface réseau d'une instance.

    • Toutes les plages d'adresses IP d'alias configurées sur la carte d'interface réseau d'une instance.

    • Si IPv6 est configuré sur le sous-réseau, l'une des adresses IPv6 attribuées à la carte d'interface réseau.

    • L'adresse IP interne ou externe associée à une règle de transfert, pour l'équilibrage de charge passthrough ou le transfert de protocole. Cela est valide si l'instance est un backend pour un équilibreur de charge réseau passthrough interne, un équilibreur de charge réseau passthrough externe, ou est référencée par une instance cible.

    Si la règle de pare-feu de sortie inclut des plages d'adresses IP sources, les VM cibles sont toujours limitées aux adresses IP sources mentionnées précédemment, mais un paramètre source peut être utilisé pour affiner les sources. L'utilisation d'un paramètre source sans activer le transfert IP ne développe jamais l'ensemble des adresses sources de paquets possibles.

    Si la règle de pare-feu de sortie n'inclut pas de plage d'adresses IP sources, toutes les adresses IP sources mentionnées précédemment sont autorisées.

  • Si le transfert IP est activé sur la VM cible, celle-ci peut émettre des paquets avec des adresses sources arbitraires. Vous pouvez utiliser le paramètre de source pour définir plus précisément l'ensemble des sources de paquets autorisées.

Sources

Les valeurs des paramètres sources dépendent de la direction de la règle de pare-feu.

Sources des règles d'entrée

Ce tableau liste les paramètres sources pour les règles d'entrée, les stratégies de pare-feu compatibles avec chaque paramètre et les types de cibles de règles compatibles avec chaque paramètre. Vous devez spécifier au moins un paramètre de source. La coche  indique que le paramètre est compatible, et le symbole  indique qu'il ne l'est pas.

Paramètre source de la règle d'Ingress Compatibilité avec les stratégies de pare-feu Compatibilité des types de cibles de règles
Hiérarchique Réseau mondial Réseau régional INSTANCES INTERNAL_MANAGED_LB
Plages d'adresses IP sources

Liste d'adresses IPv4 ou IPv6 au format CIDR. La liste est stockée dans la règle de stratégie de pare-feu elle-même.

Groupes d'adresses sources

Collections réutilisables d'adresses IPv4 au format CIDR ou d'adresses IPv6 au format CIDR. La règle de pare-feu fait référence à la collection. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu.

Noms de domaine source

Liste d'un ou de plusieurs noms de domaine sources. Pour en savoir plus, y compris sur la façon dont les noms de domaine sont convertis en adresses IP, consultez Objets de nom de domaine complet.

Récupérer les valeurs de tag sécurisées à partir d'une clé de tag avec des données sur l'objectif du réseau

Liste d'une ou de plusieurs valeurs de tag d'une clé de tag dont les données d'objectif spécifient un seul réseau VPC. Pour en savoir plus, consultez Tags sécurisés pour les pare-feu et Comment les tags sécurisés sources impliquent des sources de paquets.

Obtenir les valeurs de tags sécurisés à partir d'une clé de tag avec des données sur l'objectif de l'organisation

Liste d'une ou de plusieurs valeurs de tag provenant d'une clé de tag dont les données d'objectif sont organization=auto. Pour en savoir plus, consultez Tags sécurisés pour les pare-feu et Comment les tags sécurisés sources impliquent des sources de paquets.

Géolocalisations des sources

Liste d'un ou de plusieurs emplacements géographiques sources spécifiés sous forme de codes pays ou région à deux lettres. Pour en savoir plus, consultez Objets de géolocalisation.

Listes Google Threat Intelligence sources

Liste d'un ou de plusieurs noms de liste Google Threat Intelligence prédéfinis. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.

Contexte du réseau source

Contrainte qui définit une limite de sécurité. Les valeurs valides dépendent du type de cible de la règle. Pour en savoir plus, consultez Contextes réseau.

Combinaisons de sources pour les règles d'Ingress

Dans une même règle d'entrée, vous pouvez utiliser au moins deux paramètres sources pour créer une combinaison de sources. Cloud NGFW applique les contraintes suivantes aux combinaisons de sources de chaque règle d'entrée :

  • Les plages d'adresses IP sources doivent contenir des CIDR IPv4 ou IPv6, mais pas les deux.
  • Un groupe d'adresses sources contenant des CIDR IPv4 ne peut pas être utilisé avec un groupe d'adresses sources contenant des CIDR IPv6.
  • Une plage d'adresses IP sources contenant des CIDR IPv4 ne peut pas être utilisée avec un groupe d'adresses sources contenant des CIDR IPv6.
  • Une plage d'adresses IP sources contenant des CIDR IPv6 ne peut pas être utilisée avec un groupe d'adresses sources contenant des CIDR IPv4.
  • Le contexte du réseau Internet ne peut pas être utilisé avec les tags sécurisés sources.
  • Les contextes non Internet, de réseaux VPC et inter-VPC ne peuvent pas être utilisés avec les listes Google Threat Intelligence ou les géolocalisations .

Cloud NGFW applique la logique suivante pour faire correspondre les paquets à une règle d'entrée qui utilise une combinaison de sources :

  • Si la combinaison de sources n'inclut pas de contexte de réseau source, les paquets correspondent à la règle d'entrée s'ils correspondent à au moins un paramètre source de la combinaison de sources.

  • Si la combinaison de sources inclut un contexte réseau source, les paquets correspondent à la règle d'entrée s'ils correspondent au contexte réseau source et à au moins l'un des autres paramètres sources de la combinaison de sources.

Comment les tags sécurisés sources impliquent des sources de paquets

Une règle de pare-feu d'entrée peut utiliser des valeurs de tag sécurisé source lorsque son type de cible est omis ou défini sur INSTANCES. Les valeurs de tag sécurisées identifient les interfaces réseau, et non les caractéristiques des paquets, comme les adresses IP.

Les paquets envoyés depuis une interface réseau d'une instance de VM correspondent à une règle d'entrée qui utilise une valeur de tag sécurisé source selon les règles suivantes :

  • Si la règle d'entrée se trouve dans une stratégie de réseau régionale, l'instance de VM doit se trouver dans une zone de la même région que la stratégie de pare-feu réseau régionale. Sinon, l'instance de VM peut se trouver dans n'importe quelle zone.

  • L'instance de VM doit être associée à la même valeur de tag sécurisé que celle utilisée comme tag sécurisé source dans une règle de pare-feu d'entrée.

  • La valeur du tag sécurisé associée à l'instance de VM et utilisée par la règle de pare-feu d'entrée doit provenir d'une clé de tag dont l'attribut purpose-data identifie au moins un réseau VPC contenant une interface réseau de l'instance de VM :

    • Si les données d'objectif de la clé de tag spécifient un seul réseau VPC, les règles de pare-feu d'entrée qui utilisent la valeur du tag sécurisé source s'appliquent aux interfaces réseau de l'instance de VM qui se trouvent dans ce réseau VPC.

    • Si les données d'objectif de la clé de tag spécifient l'organisation, les règles de pare-feu d'entrée qui utilisent la valeur de tag sécurisé source s'appliquent aux interfaces réseau de l'instance de VM qui se trouvent dans n'importe quel réseau VPC de l'organisation.

  • L'interface réseau de la VM identifiée doit répondre à l'un des critères suivants :

    • L'interface réseau de la VM se trouve dans le même réseau VPC que celui auquel la stratégie de pare-feu s'applique.
    • L'interface réseau de la VM se trouve dans un réseau VPC connecté, à l'aide de l'appairage de réseaux VPC, au réseau VPC auquel la stratégie de pare-feu s'applique.

    • Le réseau VPC utilisé par l'interface réseau de la VM et le réseau VPC auquel s'applique la stratégie de pare-feu sont tous deux des spokes VPC sur le même hub Network Connectivity Center.

Pour en savoir plus sur les tags sécurisés pour les pare-feu, consultez la section Spécifications.

Sources des règles de sortie

Vous pouvez utiliser les sources suivantes pour les règles de sortie dans les stratégies de pare-feu hiérarchiques et les stratégies de pare-feu de réseau :

  • Par défaut, implicite par la cible : si vous omettez le paramètre source d'une règle de sortie, les sources des paquets sont définies implicitement, comme décrit dans la section Cibles et adresses IP pour les règles de sortie.

  • Plages d'adresses IPv4 sources : liste d'adresses IPv4 au format CIDR.

  • Plages d'adresses IPv6 sources : liste d'adresses IPv6 au format CIDR.

Suivez les instructions ci-dessous pour ajouter des plages d'adresses IP sources aux règles de sortie :

  • Si une adresse IPv4 externe est attribuée à une interface réseau de VM, ou si elle n'en possède pas, mais utilise une passerelle Cloud NAT, l'évaluation du pare-feu de sortie a lieu avant que Google Cloud ne modifie la source du paquet sortant, en remplaçant une adresse IPv4 interne par une adresse IPv4 externe. Pour appliquer une règle de pare-feu de sortie, vous devez omettre le paramètre Source ou inclure l'adresse IPv4 interne de l'interface réseau de la VM dans le paramètre Source.

  • Si vous disposez d'une plage d'adresses IP sources et de paramètres de destination dans la règle de sortie, les paramètres de destination sont résolus dans la même version IP que la version IP source.

    Par exemple, dans une règle de sortie, vous disposez d'une plage d'adresses IPv4 dans le paramètre source et d'un objet FQDN (nom de domaine complet) dans le paramètre de destination. Si le FQDN est résolu à la fois en adresses IPv4 et IPv6, seule l'adresse IPv4 résolue est utilisée lors de l'application de la règle.

Destinations

Les valeurs des paramètres de destination dépendent de la direction de la règle de pare-feu.

Destinations pour les règles d'entrée

Vous pouvez utiliser les destinations suivantes pour les règles de pare-feu d'entrée dans les stratégies de pare-feu hiérarchiques et de réseau :

  • Par défaut, implicite par la cible : si vous omettez le paramètre de destination dans une règle d'entrée, les destinations des paquets sont définies implicitement, comme décrit dans la section Cibles et adresses IP pour les règles d'entrée.

  • Plages d'adresses IPv4 de destination : liste des adresses IPv4 au format CIDR.

  • Plages d'adresses IPv6 de destination : liste des adresses IPv6 au format CIDR.

Suivez ces instructions pour ajouter des plages d'adresses IP de destination pour les règles d'entrée :

  • Si une adresse IPv4 externe est attribuée à une interface réseau de VM, ou si elle n'en possède pas, mais utilise une passerelle Cloud NAT, l'évaluation du pare-feu d'entrée a lieu après que Google Cloud a modifié la destination du paquet entrant, en remplaçant une adresse IPv4 externe par une adresse IPv4 interne. Pour appliquer une règle de pare-feu d'entrée, vous devez soit omettre le paramètre Destination, soit inclure l'adresse IPv4 interne de l'interface réseau de la VM dans le paramètre Destination.

  • Si des paramètres source et de destination sont définis dans une règle d'entrée, les paramètres sources sont résolus dans la même version IP que la version IP de destination. Pour en savoir plus sur la définition d'une source pour les règles d'entrée, consultez les sections Sources pour les règles d'entrée dans les stratégies de pare-feu hiérarchiques et Sources pour les règles d'entrée dans les stratégies de pare-feu réseau.

    Par exemple, dans une règle d'entrée, vous disposez d'une plage d'adresses IPv6 dans le paramètre de destination et d'un code pays de géolocalisation dans le paramètre source. Lors de l'application de la règle, seule l'adresse IPv6 mappée est utilisée pour le code pays source spécifié.

Destinations pour les règles de sortie

Ce tableau liste les paramètres de destination pour les règles de sortie, les règles de pare-feu compatibles avec chaque paramètre et les types de cibles de règles compatibles avec chaque paramètre. Vous devez spécifier au moins un paramètre de destination. La coche  indique que le paramètre est accepté, et le symbole  indique qu'il ne l'est pas.

Paramètre de destination des règles de sortie Compatibilité avec les stratégies de pare-feu Compatibilité des types de cibles de règles
Hiérarchique Réseau mondial Réseau régional INSTANCES INTERNAL_MANAGED_LB
Plages d'adresses IP de destination

Liste d'adresses IPv4 ou IPv6 au format CIDR. La liste est stockée dans la règle de stratégie de pare-feu elle-même.

Groupes d'adresses de destination

Collections réutilisables d'adresses IPv4 au format CIDR ou d'adresses IPv6 au format CIDR. La règle de stratégie de pare-feu fait référence à la collection. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu.

Noms de domaine de destination

Liste d'un ou de plusieurs noms de domaine de destination. Pour en savoir plus, y compris sur la façon dont les noms de domaine sont convertis en adresses IP, consultez Objets de nom de domaine complet.

Géolocalisations de destination

Liste d'un ou de plusieurs emplacements géographiques sources spécifiés sous forme de codes pays ou région à deux lettres. Pour en savoir plus, consultez Objets de géolocalisation.

Listes Google Threat Intelligence de destination

Liste d'un ou de plusieurs noms de liste Google Threat Intelligence prédéfinis. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu.

Contexte du réseau de destination

Contrainte qui définit une limite de sécurité.

Combinaisons de destinations pour les règles de sortie

Dans une même règle de sortie, vous pouvez utiliser au moins deux paramètres de destination pour créer une combinaison de destinations. Cloud NGFW applique les contraintes suivantes aux combinaisons de destinations de chaque règle de sortie :

  • Les plages d'adresses IP de destination doivent contenir des CIDR IPv4 ou IPv6, mais pas une combinaison des deux.
  • Vous ne pouvez pas utiliser un groupe d'adresses de destination contenant des CIDR IPv4 avec un groupe d'adresses de destination contenant des CIDR IPv6.
  • Vous ne pouvez pas utiliser de plage d'adresses IP de destination contenant des CIDR IPv4 avec un groupe d'adresses de destination contenant des CIDR IPv6.
  • Vous ne pouvez pas utiliser de plage d'adresses IP de destination contenant des CIDR IPv6 avec un groupe d'adresses de destination contenant des CIDR IPv4.
  • Vous ne pouvez pas utiliser les listes Google Threat Intelligence de destination ni les géolocalisations de destination avec le contexte de réseau non Internet de destination.

Cloud NGFW applique la logique suivante pour faire correspondre les paquets à une règle de sortie qui utilise une combinaison de destinations :

  • Si la combinaison de destinations n'inclut pas de contexte de réseau de destination, les paquets correspondent à la règle de sortie s'ils correspondent à au moins un paramètre de destination dans la combinaison de destinations.

  • Si la combinaison de destinations inclut un contexte de réseau de destination, les paquets correspondent à la règle de sortie s'ils correspondent au contexte de réseau de destination et à au moins l'un des autres paramètres de destination de la combinaison de destinations.

Étapes suivantes