Composants des règles de stratégie de pare-feu (original) (raw)
Cette page décrit les composants des règles de pare-feu que vous créez dans l'une des stratégies de pare-feu suivantes qui s'appliquent à un réseau cloud privé virtuel (VPC) standard :
- Stratégies de pare-feu hiérarchiques
- Stratégies de pare-feu de réseau au niveau mondial
- Stratégies de pare-feu de réseau régionales
Pour en savoir plus sur les règles de pare-feu et les profils réseau RDMA (Remote Direct Memory Access), consultez Cloud NGFW pour les réseaux VPC RoCE.
Chaque règle de pare-feu s'applique soit aux connexions entrantes (entrée), soit aux connexions sortantes (sortie), mais pas aux deux. Lorsque vous créez une règle de stratégie de pare-feu, vous spécifiez les composants qui définissent le rôle de cette règle. En plus de la direction, vous pouvez spécifier la source, la destination et les caractéristiques de couche 4, telles que le protocole et le port de destination (si le protocole utilise des ports).
Priorité
La priorité d'une règle dans une stratégie de pare-feu est un entier compris entre 0 et 2 147 483 547 (inclus). Des entiers plus petits indiquent des priorités plus élevées. La priorité d'une règle d'une stratégie de pare-feu est semblable à la priorité d'une règle de pare-feu VPC, avec les différences suivantes :
- Chaque règle d'une stratégie de pare-feu doit avoir une priorité unique.
- La priorité d'une règle dans une stratégie de pare-feu sert d'identifiant unique à la règle. Les règles des stratégies de pare-feu n'utilisent pas de noms pour l'identification.
- La priorité d'une règle dans une stratégie de pare-feu définit l'ordre d'évaluation dans la stratégie de pare-feu elle-même. Les règles de pare-feu VPC et les règles des stratégies de pare-feu hiérarchiques, des stratégies de pare-feu réseau mondiales et des stratégies de pare-feu réseau régionales sont évaluées comme décrit dans Appliquer des stratégies et des règles de pare-feu à un réseau.
Action en cas de correspondance
Une règle d'une stratégie de pare-feu peut avoir l'une des quatre actions suivantes :
| Paramètre d'action | Description |
|---|---|
| allow | Autorise les paquets pour une nouvelle connexion. Arrête l'évaluation des règles dans la stratégie de pare-feu contenant la règle correspondante. N'évalue aucune autre règle de pare-feu. Quel que soit le sens de la règle, si le protocole de paquet et le type de stratégie de pare-feu sont compatibles avec le suivi des connexions, une règle d'autorisation crée une entrée de table de suivi des connexions de pare-feu qui autorise les paquets entrants et sortants. |
| deny | Interdit les paquets pour une nouvelle connexion. Arrête l'évaluation des règles dans la stratégie de pare-feu contenant la règle correspondante. N'évalue aucune autre règle de pare-feu. Cloud NGFW recherche toujours une entrée dans le tableau de suivi des connexions de pare-feu avant d'évaluer les règles de pare-feu. Par conséquent, si une règle d'autorisation a créé une entrée dans la table de suivi des connexions, cette entrée est prioritaire. |
| apply_security_profile_group | Intercepte les paquets pour une nouvelle connexion et les envoie à un point de terminaison de pare-feu ou à un groupe de points de terminaison d'interception. Arrête l'évaluation des règles dans la stratégie de pare-feu contenant la règle correspondante. N'évalue aucune autre règle de pare-feu. Quel que soit le sens de la règle, si le protocole de paquet et le type de stratégie de pare-feu sont compatibles avec le suivi des connexions, une règle avec l'action apply_security_profile_group crée une entrée de table de suivi des connexions de pare-feu afin que les paquets entrants et sortants soient interceptés par le point de terminaison du pare-feu ou le groupe de points de terminaison d'interception. Vous ne pouvez pas créer de règles avec l'action apply_security_profile_group dans les stratégies de pare-feu de réseau régionales. Les stratégies de pare-feu système régionales ne sont pas compatibles avec les règles comportant cette action. |
| goto_next | Arrête l'évaluation des autres règles de la stratégie de pare-feu et évalue les règles de l'étape suivante de l' ordre d'évaluation des stratégies et des règles de pare-feu. L'étape suivante de l'ordre d'évaluation des règles et des stratégies de pare-feu peut être l'évaluation des règles d'une autre stratégie de pare-feu ou des règles de pare-feu implicites. |
Application
Vous pouvez décider si une règle de stratégie de pare-feu est appliquée ou non en définissant son état sur "Activé" ou "Désactivé". Vous définissez l'état d'application lorsque vous créez une règle ou lorsque vous mettez à jour une règle.
Si vous ne définissez pas d'état d'application lorsque vous créez une règle de pare-feu, la règle de pare-feu est automatiquement activée.
Protocols and ports
Comme pour les règles de pare-feu VPC, vous devez spécifier une ou plusieurs contraintes de protocole et de port au moment de la création d'une règle. Lorsque vous indiquez TCP ou UDP dans une règle, vous pouvez spécifier le protocole, le protocole et un port de destination, ou le protocole et une plage de ports de destination. Vous ne pouvez pas spécifier uniquement un port ou une plage de ports. De plus, vous ne pouvez spécifier que des ports de destination. Les règles basées sur les ports sources ne sont pas acceptées.
Vous pouvez utiliser les noms de protocoles suivants dans les règles de pare-feu : tcp, udp, icmp (pour IPv4 ICMP), esp, ah, sctp et ipip. Pour tous les autres protocoles, utilisez les numéros de protocole IANA.
De nombreux protocoles ont les mêmes nom et numéro dans IPv4 et IPv6, ce qui n'est pas le cas de certains protocoles comme ICMP. Pour spécifier le protocole ICMP IPv4, utilisez icmp ou le numéro de protocole 1. Pour spécifier le protocole ICMP IPv6, utilisez le numéro de protocole 58.
Les règles de pare-feu ne permettent pas de spécifier des types et des codes ICMP, mais uniquement le protocole.
Le protocole IPv6 Hop-by-Hop n'est pas compatible avec les règles de pare-feu.
Si vous ne spécifiez pas de paramètres de protocole et de port, la règle s'applique à tous les protocoles et ports de destination.
Journalisation
La journalisation des règles des stratégies de pare-feu fonctionne de la même manière que la journalisation des règles de pare-feu VPC, à l'exception des éléments suivants :
- Le champ de référence inclut l'ID de la stratégie de pare-feu ainsi qu'un numéro indiquant le niveau de la ressource auquel la stratégie est associée. Par exemple,
0signifie que la stratégie est appliquée à une organisation et1signifie qu'elle est appliquée à un dossier de premier niveau sous l'organisation. - Les journaux des règles des stratégies de pare-feu incluent un champ
target_resourcequi identifie les réseaux VPC auxquels la règle s'applique. - La journalisation ne peut être activée que pour les règles
allow,denyetapply_security_profile_group. Elle ne peut pas être activée pour les règlesgoto_next. - Lorsque vous activez la journalisation pour une règle qui utilise l'action
apply_security_profile_group, Cloud NGFW génère une seule entrée de journal lorsqu'il intercepte une session de trafic et redirige le trafic vers le point de terminaison du pare-feu pour une inspection approfondie des paquets. Cette entrée de journal confirme que la règle de pare-feu correspondait au trafic et l'a redirigé vers le point de terminaison du pare-feu. Pour en savoir plus, consultez la présentation de la journalisation des règles de stratégie de pare-feu. - Le point de terminaison de pare-feu effectue une inspection approfondie des paquets, comme le service de détection et de prévention des intrusions et le service de filtrage des URL, et génère son propre ensemble de journaux. Ces journaux fournissent des informations détaillées sur les connexions au sein de la session interceptée, en listant les menaces ou les actions de filtrage d'URL détectées. Ces journaux d'inspection approfondie des paquets peuvent générer plusieurs entrées de journal par session.
Cible, source, destination
Les paramètres de cible, de source et de destination fonctionnent conjointement pour déterminer le champ d'application d'une règle de pare-feu.
- Paramètres cibles : identifient les ressources auxquelles la règle de pare-feu s'applique.
- Paramètres de source et de destination : définissez les critères de trafic. Vous pouvez spécifier les deux pour les règles d'entrée et de sortie. Les options valides pour les paramètres source et de destination dépendent des paramètres cibles et du sens de la règle de pare-feu.
Cibles
Le paramètre type de cible et un ou plusieurs paramètres cible définissent les cibles d'une règle de pare-feu. Les cibles d'une règle de pare-feu sont les ressources que la règle de pare-feu protège.
- Si le type de cible est omis ou défini sur
INSTANCES, la règle de pare-feu s'applique aux interfaces réseau des instances Compute Engine, y compris aux nœuds Google Kubernetes Engine et aux instances de l'environnement flexible App Engine. Les règles d'entrée et de sortie sont acceptées.
Pour spécifier les interfaces réseau de VM auxquelles la règle de pare-feu s'applique, utilisez les paramètres cibles :- Si vous omettez tous les paramètres cibles, la règle de pare-feu s'applique aux cibles d'instance les plus larges.
- Pour en savoir plus sur les paramètres et les combinaisons de paramètres cibles, consultez Cibles spécifiques et Combinaisons de cibles spécifiques.
- Si le type de cible est défini sur
INTERNAL_MANAGED_LB(aperçu), la règle de pare-feu s'applique aux proxys Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes. Seules les règles d'entrée sont acceptées.- Si vous omettez le paramètre Règles de transfert cibles, la règle de pare-feu s'applique aux cibles d'équilibreur de charge les plus larges.
- Pour limiter la règle de pare-feu à un seul équilibreur de charge, utilisez le paramètre des règles de transfert cibles. Pour en savoir plus, consultez Cibles spécifiques.
Cibles d'instances les plus larges
Les cibles d'instance les plus larges dépendent du type de stratégie de pare-feu :
- Cibles d'instance les plus larges pour une règle dans une stratégie de pare-feu hiérarchique : toutes les interfaces réseau de VM d'un sous-réseau dans n'importe quelle région de n'importe quel réseau VPC situé dans un projet sous le nœud Resource Manager (dossier ou organisation) associé à la stratégie de pare-feu hiérarchique.
- Cibles d'instance les plus larges pour une règle dans une stratégie de pare-feu de réseau mondial : toutes les interfaces réseau de VM dans un sous-réseau de n'importe quelle région du réseau VPC associé à la stratégie de pare-feu de réseau mondial.
- Cibles d'instance les plus larges pour une règle dans une stratégie de pare-feu de réseau régionale : toutes les interfaces réseau de VM d'un sous-réseau de la région et du réseau VPC associés à la stratégie de pare-feu de réseau régionale.
Cibles d'équilibreur de charge les plus larges
Les stratégies de pare-feu de réseau régionales sont les seules dont les règles sont compatibles avec les cibles d'équilibreur de charge. Les cibles d'équilibreur de charge les plus larges sont les règles de transfert pour les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes dans la région de la règle et le réseau VPC associé.
Cibles spécifiques
Le tableau suivant liste les paramètres cibles, les stratégies de pare-feu compatibles avec les règles comportant chaque paramètre et les types de cibles de règles acceptés. Si vous ne spécifiez pas de paramètre de cible, la règle utilise les cibles d'instance les plus larges ou les cibles d'équilibreur de charge les plus larges, en fonction du type de cible de la règle. La coche indique que le paramètre est compatible, et le symbole indique qu'il ne l'est pas.
| Paramètre de cible | Compatibilité avec les stratégies de pare-feu | Compatibilité des types de cibles de règles | ||
|---|---|---|---|---|
| Hiérarchique | Réseau mondial | Réseau régional | INSTANCES | INTERNAL_MANAGED_LB |
| Cibler les ressources du réseau VPC Liste d'un ou de plusieurs réseaux VPC spécifiés à l'aide du paramètre target-resources. Cette liste limite les cibles d'instance les plus larges aux interfaces réseau de VM qui se trouvent dans au moins l'un des réseaux VPC spécifiés. | ||||
| Comptes de service cibles Liste d'un ou plusieurs comptes de service spécifiés à l'aide du paramètre target-service-accounts. Cette liste limite les cibles d'instance les plus larges aux interfaces réseau de VM appartenant à des instances de VM associées à au moins l'un des comptes de service spécifiés. | ||||
| Cibler les valeurs de tag sécurisé à partir d'une clé de tag avec des données d'objectif réseau Règle qui utilise le paramètre target-secure-tags contenant une liste d'une ou plusieurs valeurs de tag à partir d'une clé de tag dont purpose-data spécifie un seul réseau VPC. Cette liste limite les cibles d'instance les plus larges aux interfaces réseau de VM qui répondent aux deux critères suivants : L'interface se trouve dans le réseau VPC qui correspond à purpose-data de la clé de tag. L'interface appartient à une VM associée à la valeur du tag. Pour en savoir plus, consultez Tags sécurisés pour les pare-feu. | ||||
| Cibler les valeurs de tags sécurisés à partir d'une clé de tag avec des données sur l'objectif de l'organisation Règle qui utilise le paramètre target-secure-tags contenant une liste d'une ou plusieurs valeurs de tag à partir d'une clé de tag dont purpose-data est défini sur organization=auto. Cette liste limite les cibles d'instance les plus larges aux interfaces réseau de VM qui répondent aux deux critères suivants : L'interface se trouve dans n'importe quel réseau VPC de l'organisation. L'interface appartient à une VM associée à la valeur du tag. Pour en savoir plus, consultez Tags sécurisés pour les pare-feu. | ||||
| Cibler les règles de transfert Aperçu Règle de transfert unique pour un équilibreur de charge d'application interne ou un équilibreur de charge réseau proxy interne spécifiée au format des règles de transfert cibles. Ce paramètre permet de limiter les cibles d'équilibreur de charge les plus larges à un équilibreur de charge d'application interne ou à un équilibreur de charge réseau proxy interne spécifique. |
Combinaisons de cibles spécifiques
Les règles compatibles avec le paramètre target-resources peuvent le combiner avec un autre paramètre cible pour créer une combinaison de paramètres cibles. Le tableau suivant répertorie les combinaisons de paramètres cibles acceptées, les règles de pare-feu compatibles avec les règles comportant chaque paramètre et les types de cibles de règles acceptés. Si vous ne spécifiez pas de paramètre cible, la règle utilise les cibles d'instance les plus larges ou les cibles d'équilibreur de charge les plus larges, en fonction du type de cible de la règle.
La coche indique que le paramètre est compatible, et le symbole indique qu'il ne l'est pas.
| Combinaison de paramètres cibles | Compatibilité avec les stratégies de pare-feu | Compatibilité des types de cibles de règles | ||
|---|---|---|---|---|
| Hiérarchique | Réseau mondial | Réseau régional | INSTANCES | INTERNAL_MANAGED_LB |
| Combinaison de ressources de réseau VPC cible et de comptes de service cibles Une règle qui utilise à la fois les paramètres target-resources et target-service-accounts. Cette combinaison limite les cibles d'instance les plus larges aux interfaces réseau de VM qui répondent aux deux critères suivants : L'interface se trouve dans au moins l'un des réseaux VPC spécifiés dans target-resources. L'interface appartient à une instance de VM associée à au moins l'un des comptes de service spécifiés. | ||||
| Combinaison des ressources du réseau VPC cible et des valeurs des tags sécurisés cibles Une règle qui utilise à la fois les paramètres target-resources et target-secure-tags. Les valeurs de balise doivent provenir d'une clé de balise dont purpose-data est organization=auto. Cette combinaison limite les cibles d'instance les plus larges aux interfaces réseau de VM qui répondent aux deux critères suivants : L'interface se trouve dans au moins l'un des réseaux VPC spécifiés dans target-resources. L'interface appartient à une VM associée à la valeur du tag. |
Format des règles de transfert cibles
Lorsque le type de cible d'une règle de pare-feu est défini sur INTERNAL_MANAGED_LB (Aperçu), le paramètre de règles de transfert de cible accepte les valeurs dans les formats suivants :
- Pour les équilibreurs de charge d'application internes régionaux et les équilibreurs de charge réseau proxy internes régionaux :
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME
- Pour les équilibreurs de charge d'application internes interrégionaux et les équilibreurs de charge réseau proxy internes interrégionaux :
https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAMEprojects/PROJECT_ID/global/forwardingRules/FORWARDING_RULE_NAME
Cibles et adresses IP pour les règles d'entrée
Lorsque le type de cible d'une règle de pare-feu est omis ou défini sur INSTANCES, la règle s'applique aux paquets qui sont acheminés vers les interfaces réseau des VM cibles.
- Si la règle de pare-feu d'entrée inclut une plage d'adresses IP de destination, la destination du paquet doit correspondre à l'une des plages d'adresses IP de destination explicitement définies.
- Si la règle de pare-feu d'entrée n'inclut pas de plage d'adresses IP de destination, la destination du paquet doit correspondre à l'une des adresses IP suivantes de chaque VM cible :
- L'adresse IPv4 interne principale attribuée à la carte d'interface réseau de l'instance.
- Toutes les plages d'adresses IP d'alias configurées sur la carte d'interface réseau de l'instance.
- L'adresse IPv4 externe associée à la carte d'interface réseau de l'instance.
- Si IPv6 est configuré sur le sous-réseau, l'une des adresses IPv6 attribuées à la carte d'interface réseau.
- Une adresse IP interne ou externe associée à une règle de transfert utilisée pour l'équilibrage de charge passthrough, où l'instance est un backend pour un équilibreur de charge réseau passthrough interne ou un équilibreur de charge réseau passthrough externe.
- Une adresse IP externe ou interne associée à une règle de transfert utilisée pour le transfert de protocole, où l'instance est référencée par une instance cible.
- Une adresse IP dans la plage de destination d'une route statique personnalisée utilisant l'instance comme VM de saut suivant (
next-hop-instanceounext-hop-address). - Une adresse IP dans la plage de destination d'une route statique personnalisée utilisant un équilibreur de charge réseau passthrough interne (
next-hop-ilb) comme saut suivant si la VM est un backend pour cet équilibreur de charge.
Lorsque le type de cible d'une règle de pare-feu est défini sur INTERNAL_MANAGED_LB (aperçu), la règle filtre les paquets acheminés vers les proxys Envoy gérés associés aux équilibreurs de charge d'application internes et aux équilibreurs de charge réseau proxy internes. Lorsque vous utilisez des plages d'adresses IP de destination dans une règle d'entrée, assurez-vous que la plage inclut l'adresse IP de la règle de transfert de l'équilibreur de charge concerné.
Cibles et adresses IP pour les règles de sortie
Lorsque le type de cible d'une règle de pare-feu est omis ou défini sur INSTANCES, la règle s'applique aux paquets émis par les interfaces réseau des VM cibles.
- Si le transfert IP est désactivé sur la VM cible (par défaut), celle-ci ne peut émettre des paquets qu'avec les sources suivantes :
- L'adresse IPv4 interne principale de la carte d'interface réseau d'une instance.
- Toutes les plages d'adresses IP d'alias configurées sur la carte d'interface réseau d'une instance.
- Si IPv6 est configuré sur le sous-réseau, l'une des adresses IPv6 attribuées à la carte d'interface réseau.
- L'adresse IP interne ou externe associée à une règle de transfert, pour l'équilibrage de charge passthrough ou le transfert de protocole. Cela est valide si l'instance est un backend pour un équilibreur de charge réseau passthrough interne, un équilibreur de charge réseau passthrough externe, ou est référencée par une instance cible.
Si la règle de pare-feu de sortie inclut des plages d'adresses IP sources, les VM cibles sont toujours limitées aux adresses IP sources mentionnées précédemment, mais un paramètre source peut être utilisé pour affiner les sources. L'utilisation d'un paramètre source sans activer le transfert IP ne développe jamais l'ensemble des adresses sources de paquets possibles.
Si la règle de pare-feu de sortie n'inclut pas de plage d'adresses IP sources, toutes les adresses IP sources mentionnées précédemment sont autorisées.
- Si le transfert IP est activé sur la VM cible, celle-ci peut émettre des paquets avec des adresses sources arbitraires. Vous pouvez utiliser le paramètre de source pour définir plus précisément l'ensemble des sources de paquets autorisées.
Sources
Les valeurs des paramètres sources dépendent de la direction de la règle de pare-feu.
Sources des règles d'entrée
Ce tableau liste les paramètres de source pour les règles d'entrée, les stratégies de pare-feu compatibles avec chaque paramètre et les types de cibles de règles compatibles avec chaque paramètre. Vous devez spécifier au moins un paramètre de source. La coche indique que le paramètre est compatible, et le symbole indique qu'il ne l'est pas.
| Paramètre source de la règle d'Ingress | Compatibilité avec les stratégies de pare-feu | Compatibilité des types de cibles de règles | ||
|---|---|---|---|---|
| Hiérarchique | Réseau mondial | Réseau régional | INSTANCES | INTERNAL_MANAGED_LB |
| Plages d'adresses IP sources Liste d'adresses IPv4 ou IPv6 au format CIDR. La liste est stockée dans la règle de stratégie de pare-feu elle-même. | ||||
| Groupes d'adresses sources Collections réutilisables d'adresses IPv4 au format CIDR ou d'adresses IPv6 au format CIDR. La règle de pare-feu fait référence à la collection. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu. | ||||
| Noms de domaine source Liste d'un ou de plusieurs noms de domaine sources. Pour en savoir plus, y compris sur la façon dont les noms de domaine sont convertis en adresses IP, consultez Objets de nom de domaine complet. | ||||
| Obtenir des valeurs de tag sécurisées à partir d'une clé de tag avec des données sur l'objectif du réseau Liste d'une ou de plusieurs valeurs de tag provenant d'une clé de tag dont les données d'objectif spécifient un seul réseau VPC. Pour en savoir plus, consultez Tags sécurisés pour les pare-feu et Comment les tags sécurisés sources impliquent des sources de paquets. | ||||
| Obtenir les valeurs de tags sécurisés à partir d'une clé de tag avec des données sur l'objectif de l'organisation Liste d'une ou de plusieurs valeurs de tag provenant d'une clé de tag dont les données d'objectif sont organization=auto. Pour en savoir plus, consultez Tags sécurisés pour les pare-feu et Comment les tags sécurisés sources impliquent des sources de paquets. | ||||
| Géolocalisations des sources Liste d'un ou de plusieurs emplacements géographiques sources spécifiés sous forme de codes pays ou région à deux lettres. Pour en savoir plus, consultez Objets de géolocalisation. | ||||
| Listes Google Threat Intelligence sources Liste d'un ou de plusieurs noms de liste Google Threat Intelligence prédéfinis. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu. | ||||
| Contexte du réseau source Contrainte qui définit une limite de sécurité. Les valeurs valides dépendent du type de cible de la règle. Pour en savoir plus, consultez Contextes réseau. |
Combinaisons de sources de règles d'Ingress
Dans une même règle d'entrée, vous pouvez utiliser au moins deux paramètres sources pour créer une combinaison de sources. Cloud NGFW applique les contraintes suivantes aux combinaisons de sources de chaque règle d'entrée :
- Les plages d'adresses IP sources doivent contenir des CIDR IPv4 ou IPv6, mais pas les deux.
- Un groupe d'adresses sources contenant des CIDR IPv4 ne peut pas être utilisé avec un groupe d'adresses sources contenant des CIDR IPv6.
- Une plage d'adresses IP sources contenant des CIDR IPv4 ne peut pas être utilisée avec un groupe d'adresses sources contenant des CIDR IPv6.
- Une plage d'adresses IP sources contenant des CIDR IPv6 ne peut pas être utilisée avec un groupe d'adresses sources contenant des CIDR IPv4.
- Le contexte du réseau Internet ne peut pas être utilisé avec les tags sécurisés sources.
- Le contexte non Internet, le contexte des réseaux VPC et le contexte inter-VPC ne peuvent pas être utilisés avec les listes Google Threat Intelligence ou les géolocalisations .
Cloud NGFW applique la logique suivante pour faire correspondre les paquets à une règle d'entrée qui utilise une combinaison de sources :
- Si la combinaison de sources n'inclut pas de contexte de réseau source, les paquets correspondent à la règle d'entrée s'ils correspondent à au moins un paramètre source de la combinaison de sources.
- Si la combinaison de sources inclut un contexte réseau source, les paquets correspondent à la règle d'entrée s'ils correspondent au contexte réseau source et à au moins l'un des autres paramètres sources de la combinaison de sources.
Comment les tags sécurisés sources impliquent des sources de paquets
Une règle de pare-feu d'entrée peut utiliser des valeurs de tag sécurisé source lorsque son type de cible est omis ou défini sur INSTANCES. Les valeurs de tag sécurisées identifient les interfaces réseau, et non les caractéristiques des paquets, comme les adresses IP.
Les paquets envoyés à partir d'une interface réseau d'une instance de VM correspondent à une règle d'entrée qui utilise une valeur de tag sécurisé source selon les règles suivantes :
- Si la règle d'entrée se trouve dans une stratégie de réseau régionale, l'instance de VM doit se trouver dans une zone de la même région que la stratégie de pare-feu réseau régionale. Sinon, l'instance de VM peut se trouver dans n'importe quelle zone.
- L'instance de VM doit être associée à la même valeur de tag sécurisé que celle utilisée comme tag sécurisé source dans une règle de pare-feu d'entrée.
- La valeur du tag sécurisé associée à l'instance de VM et utilisée par la règle de pare-feu d'entrée doit provenir d'une clé de tag dont l'attribut
purpose-dataidentifie au moins un réseau VPC contenant une interface réseau de l'instance de VM :- Si les données d'objectif de la clé de tag spécifient un seul réseau VPC, les règles de pare-feu d'entrée qui utilisent la valeur du tag sécurisé source s'appliquent aux interfaces réseau de l'instance de VM qui se trouvent dans ce réseau VPC.
- Si les données d'objectif de la clé de tag spécifient l'organisation, les règles de pare-feu d'entrée qui utilisent la valeur de tag sécurisé source s'appliquent aux interfaces réseau de l'instance de VM qui se trouvent dans n'importe quel réseau VPC de l'organisation.
- L'interface réseau de la VM identifiée doit répondre à l'un des critères suivants :
- L'interface réseau de la VM se trouve dans le même réseau VPC que celui auquel la stratégie de pare-feu s'applique.
- L'interface réseau de la VM se trouve dans un réseau VPC connecté, à l'aide de l'appairage de réseaux VPC, au réseau VPC auquel la stratégie de pare-feu s'applique.
- Le réseau VPC utilisé par l'interface réseau de la VM et le réseau VPC auquel s'applique la stratégie de pare-feu sont tous deux des spokes VPC sur le même hub NCC.
Pour en savoir plus sur les tags sécurisés pour les pare-feu, consultez Spécifications.
Sources des règles de sortie
Vous pouvez utiliser les sources suivantes pour les règles de sortie dans les stratégies de pare-feu hiérarchiques et les stratégies de pare-feu de réseau :
- Par défaut, implicite par la cible : si vous omettez le paramètre source d'une règle de sortie, les sources des paquets sont définies implicitement, comme décrit dans la section Cibles et adresses IP pour les règles de sortie.
- Plages d'adresses IPv4 sources : liste d'adresses IPv4 au format CIDR.
- Plages d'adresses IPv6 sources : liste d'adresses IPv6 au format CIDR.
Suivez les instructions ci-dessous pour ajouter des plages d'adresses IP sources aux règles de sortie :
- Si une adresse IPv4 externe est attribuée à une interface réseau de VM, ou si elle n'en possède pas, mais utilise une passerelle Cloud NAT, l'évaluation du pare-feu de sortie a lieu avant que Google Cloud ne modifie la source du paquet sortant, en remplaçant une adresse IPv4 interne par une adresse IPv4 externe. Pour appliquer une règle de pare-feu de sortie, vous devez soit omettre le paramètre Source, soit inclure l'adresse IPv4 interne de l'interface réseau de la VM dans le paramètre Source.
- Si vous disposez d'une plage d'adresses IP sources et de paramètres de destination dans la règle de sortie, les paramètres de destination sont résolus dans la même version IP que la version IP source.
Par exemple, dans une règle de sortie, vous disposez d'une plage d'adresses IPv4 dans le paramètre source et d'un objet FQDN (nom de domaine complet) dans le paramètre de destination. Si le FQDN est résolu à la fois en adresses IPv4 et IPv6, seule l'adresse IPv4 résolue est utilisée lors de l'application de la règle.
Destinations
Les valeurs des paramètres de destination dépendent de la direction de la règle de pare-feu.
Destinations pour les règles d'entrée
Vous pouvez utiliser les destinations suivantes pour les règles de pare-feu d'entrée dans les stratégies de pare-feu hiérarchiques et de réseau :
- Par défaut, implicite par la cible : si vous omettez le paramètre de destination dans une règle d'entrée, les destinations des paquets sont définies implicitement, comme décrit dans la section Cibles et adresses IP pour les règles d'entrée.
- Plages d'adresses IPv4 de destination : liste des adresses IPv4 au format CIDR.
- Plages d'adresses IPv6 de destination : liste des adresses IPv6 au format CIDR.
Suivez ces instructions pour ajouter des plages d'adresses IP de destination pour les règles d'entrée :
- Si une adresse IPv4 externe est attribuée à une interface réseau de VM, ou si elle n'en possède pas, mais utilise une passerelle Cloud NAT, l'évaluation du pare-feu d'entrée a lieu après que Google Cloud a modifié la destination du paquet entrant, en remplaçant une adresse IPv4 externe par une adresse IPv4 interne. Pour appliquer une règle de pare-feu d'entrée, vous devez omettre le paramètre Destination ou inclure l'adresse IPv4 interne de l'interface réseau de la VM dans le paramètre Destination.
- Si des paramètres source et de destination sont définis dans une règle d'entrée, les paramètres sources sont résolus dans la même version IP que la version IP de destination. Pour en savoir plus sur la définition d'une source pour les règles d'entrée, consultez les sections Sources pour les règles d'entrée dans les stratégies de pare-feu hiérarchiques et Sources pour les règles d'entrée dans les stratégies de pare-feu de réseau.
Par exemple, dans une règle d'entrée, vous disposez d'une plage d'adresses IPv6 dans le paramètre de destination et d'un code pays de géolocalisation dans le paramètre source. Lors de l'application de la règle, seule l'adresse IPv6 mappée est utilisée pour le code pays source spécifié.
Destinations pour les règles de sortie
Ce tableau liste les paramètres de destination pour les règles de trafic sortant, les règles de pare-feu compatibles avec chaque paramètre et les types de cibles de règles compatibles avec chaque paramètre. Vous devez spécifier au moins un paramètre de destination. La coche indique que le paramètre est accepté, et le symbole indique qu'il ne l'est pas.
| Paramètre de destination des règles de sortie | Compatibilité avec les stratégies de pare-feu | Compatibilité des types de cibles de règles | ||
|---|---|---|---|---|
| Hiérarchique | Réseau mondial | Réseau régional | INSTANCES | INTERNAL_MANAGED_LB |
| Plages d'adresses IP de destination Liste d'adresses IPv4 ou IPv6 au format CIDR. La liste est stockée dans la règle de stratégie de pare-feu elle-même. | ||||
| Groupes d'adresses de destination Collections réutilisables d'adresses IPv4 au format CIDR ou d'adresses IPv6 au format CIDR. La règle de stratégie de pare-feu fait référence à la collection. Pour en savoir plus, consultez Groupes d'adresses pour les stratégies de pare-feu. | ||||
| Noms de domaine de destination Liste d'un ou de plusieurs noms de domaine de destination. Pour en savoir plus, y compris sur la façon dont les noms de domaine sont convertis en adresses IP, consultez Objets de nom de domaine complet. | ||||
| Géolocalisations de destination Liste d'un ou de plusieurs emplacements géographiques sources spécifiés sous forme de codes pays ou région à deux lettres. Pour en savoir plus, consultez Objets de géolocalisation. | ||||
| Listes Google Threat Intelligence de destination Liste d'un ou de plusieurs noms de liste Google Threat Intelligence prédéfinis. Pour en savoir plus, consultez Google Threat Intelligence pour les règles de stratégie de pare-feu. | ||||
| Contexte du réseau de destination Contrainte qui définit une limite de sécurité. |
Combinaisons de destinations pour les règles de sortie
Dans une même règle de sortie, vous pouvez utiliser au moins deux paramètres de destination pour créer une combinaison de destinations. Cloud NGFW applique les contraintes suivantes aux combinaisons de destinations de chaque règle de sortie :
- Les plages d'adresses IP de destination doivent contenir des CIDR IPv4 ou IPv6, mais pas une combinaison des deux.
- Vous ne pouvez pas utiliser un groupe d'adresses de destination contenant des CIDR IPv4 avec un groupe d'adresses de destination contenant des CIDR IPv6.
- Vous ne pouvez pas utiliser de plage d'adresses IP de destination contenant des CIDR IPv4 avec un groupe d'adresses de destination contenant des CIDR IPv6.
- Vous ne pouvez pas utiliser de plage d'adresses IP de destination contenant des CIDR IPv6 avec un groupe d'adresses de destination contenant des CIDR IPv4.
- Vous ne pouvez pas utiliser les listes Google Threat Intelligence de destination ni les géolocalisations de destination avec le contexte de réseau non Internet de destination.
Cloud NGFW applique la logique suivante pour faire correspondre les paquets à une règle de sortie qui utilise une combinaison de destinations :
- Si la combinaison de destinations n'inclut pas de contexte de réseau de destination, les paquets correspondent à la règle de sortie s'ils correspondent à au moins un paramètre de destination dans la combinaison de destinations.
- Si la combinaison de destinations inclut un contexte de réseau de destination, les paquets correspondent à la règle de sortie s'ils correspondent au contexte de réseau de destination et à au moins l'un des autres paramètres de destination de la combinaison de destinations.