Cette page présente des exemples de mise en œuvre de stratégies de pare-feu de réseau au niveau mondial et régional. Nous partons du principe que vous connaissez les concepts décrits dans les stratégies de pare-feu de réseau au niveau mondial et les stratégies de pare-feu de réseau régionales.
Vous pouvez associer une stratégie de pare-feu de réseau au niveau mondial et plusieurs stratégies de pare-feu réseau régionales à un réseau de cloud privé virtuel (VPC). Une stratégie de pare-feu de réseau au niveau mondial s'applique à tous les sous-réseaux dans toutes les régions du réseau VPC. Une stratégie de pare-feu de réseau régionale s'applique uniquement aux sous-réseaux du réseau VPC situés dans la région cible.
La figure 1 décrit le champ d'application d'une stratégie de pare-feu de réseau au niveau mondial et d'une stratégie de pare-feu de réseau régionale dans un réseau VPC.
Exemple : Refuser toutes les connexions externes, à l'exception de ports de destination spécifiques
Dans ce cas d'utilisation, une stratégie de pare-feu mondiale bloque toutes les connexions provenant de sources Internet externes, à l'exception des connexions sur les ports de destination 80, 443 et 22. Toute connexion Internet entrant sur des ports autres que 80, 443 ou 22 est bloquée. L'application des règles est déléguée à la stratégie de pare-feu réseau régionale pour toute connexion sur les ports 80, 443 ou 22.
Dans cet exemple, une stratégie de pare-feu réseau régionale s'applique à region-a : elle autorise le trafic interne provenant de la source 10.2.0.0/16 et le trafic entrant vers les ports 443 et 80 depuis n'importe quelle source. La figure 2 décrit la configuration de ce cas d'utilisation.
Stratégie en vigueur appliquée aux VM
Cette section décrit la stratégie de pare-feu réseau en vigueur applicable dans cet exemple après l'évaluation des règles en suivant la hiérarchie.
Connexions d'entrée
Toutes les connexions d'entrée provenant de
10.0.0.0/8correspondent à la règle de stratégie de pare-feu réseau mondiale ayant la priorité la plus élevée (delegate-internal-traffic) et contournent les autres règles de la stratégie de pare-feu réseau mondiale. Dans la règle de stratégie de pare-feu de réseau régionale, les connexions d'entrée provenant de10.2.0.0/16sont autorisées, et les autres connexions sont évaluées par rapport à la règle d'entrée implicitedeny.Les connexions d'entrée provenant d'une plage d'adresses IP sources autre que
10.0.0.0/8et ayant comme ports de destination22,80et443sont déléguées à la règle de stratégie de pare-feu réseau régionale. Dans la règle de stratégie de pare-feu réseau régionale, les ports80et443sont autorisés, mais pas le port22.
Connexion de sortie
- Il n'y a pas de correspondance dans les règles de stratégie de pare-feu de réseau au niveau mondial. Par conséquent, les règles système implicites s'appliquent, ce qui autorise les connexions de sortie.
Procédure de configuration
Créez une stratégie de pare-feu réseau au niveau mondial contenant la règle suivante :
gcloud compute network-firewall-policies create \ "example-firewall-policy-global" --global \ --description "Global network firewall policy with rules that apply to all VMs in the VPC network"Associez la stratégie au réseau VPC :
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-global \ --network my-example-vpc \ --global-firewall-policyAjoutez une règle afin d'assurer la correspondance pour toutes les connexions d'entrée provenant de
10.0.0.0/8:gcloud compute network-firewall-policies rules create 1000 \ --action goto_next \ --description "delegate-internal-traffic" \ --layer4-configs all \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 10.0.0.0/8 \ --global-firewall-policyAjoutez une règle pour déléguer le trafic externe à partir de ports spécifiques :
gcloud compute network-firewall-policies rules create 2000 \ --action goto_next \ --description "delegate-external-traffic-spec-ports" \ --layer4-configs tcp:80,tcp:443,tcp:22 \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --global-firewall-policyAjoutez une règle pour bloquer tout le trafic entrant restant :
gcloud compute network-firewall-policies rules create 3000 \ --action deny \ --description "block-external-traffic-spec-ports" \ --firewall-policy example-firewall-policy-global \ --src-ip-ranges 0.0.0.0/0 \ --layer4-configs all \ --global-firewall-policyCréez une stratégie de pare-feu réseau régionale :
gcloud compute network-firewall-policies create \ example-firewall-policy-regional --region=region-a \ --description "Regional network firewall policy with rules that apply to all VMs in region-a"Associez la stratégie de pare-feu réseau régionale à un réseau VPC pour activer les règles de stratégie pour toutes les VM de ce réseau dans une région spécifique :
gcloud compute network-firewall-policies associations create \ --firewall-policy example-firewall-policy-regional \ --network my-example-vpc \ --firewall-policy-region=region-aAjoutez une règle afin d'autoriser le trafic interne pour la stratégie de pare-feu réseau régionale :
gcloud compute network-firewall-policies rules create 1000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-internal-traffic \ --direction INGRESS \ --src-ip-ranges 10.2.0.0/16 \ --layer4-configs all \ --firewall-policy-region=region-aAjoutez une règle pour autoriser le trafic externe à partir de ports spécifiques :
gcloud compute network-firewall-policies rules create 2000 \ --action allow \ --firewall-policy example-firewall-policy-regional \ --description allow-external-traffic-spec-ports \ --direction INGRESS \ --layer4-configs=tcp:80,tcp:443 \ --src-ip-ranges 0.0.0.0/0 \ --firewall-policy-region=region-a
Étapes suivantes
Pour créer et modifier des règles et des stratégies de pare-feu réseau globales, consultez la page Utiliser des stratégies et des règles de pare-feu de réseau globales.
Pour créer et modifier des règles et des stratégies de pare-feu réseau régionales, consultez la page Utiliser des stratégies et des règles de pare-feu de réseau régionales.