Découvrez comment créer et configurer une stratégie de pare-feu de réseau mondial pour autoriser le trafic de sortie vers un nom de domaine complet spécifique à l'aide de la console Google Cloud. La stratégie de pare-feu bloque tout le reste du trafic de sortie provenant de votre réseau. Ce guide de démarrage rapide permet de créer un réseau cloud privé virtuel (VPC) avec un sous-réseau, de créer une instance de machine virtuelle (VM) dans le réseau VPC, de configurer une stratégie de pare-feu utilisant des règles de sortie, puis de tester la stratégie de pare-feu de la VM.
Avant de commencer
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.
- Assurez-vous de disposer du rôle d'administrateur de réseaux Compute (
roles/compute.networkAdmin
).
Créer un réseau VPC personnalisé avec un sous-réseau IPv4
Créez un réseau VPC en mode personnalisé avec un sous-réseau IPv4.
Dans la console Google Cloud, accédez à la page Réseaux VPC.
Cliquez sur Créer un réseau VPC.
Dans le champ Nom, saisissez
vpc-fw-policy-egress
.Dans le champ Mode de création de sous-réseau, sélectionnez Personnalisé.
Dans la section Nouveau sous-réseau, spécifiez les paramètres de configuration de sous-réseau suivants :
- Nom : saisissez
subnet-1
. - Région : sélectionnez us-central1.
- Plage IPv4 : saisissez
10.0.0.0/24
.
- Nom : saisissez
Cliquez sur OK.
Cliquez sur Créer.
Créer une VM
Créez une VM dans le sous-réseau que vous avez configuré à la section précédente.
Accédez à la page Créer une instance dans Google Cloud Console.
Dans le champ Nom, saisissez
instance-1-us
.Pour Région, sélectionnez
us-central1 (Iowa)
.Développez la section Options avancées, puis Mise en réseau.
Dans la section Interfaces réseau, développez l'interface réseau existante et spécifiez les paramètres de configuration suivants :
- Réseau : sélectionnez vpc-fw-policy-egress.
- Sous-réseau : sélectionnez IPv4 de sous-réseau 1 (10.0.0.0/24).
- Adresse IPv4 externe : sélectionnez Aucune.
Cliquez sur OK.
Cliquez sur Créer.
Créer un routeur Cloud Router et une passerelle Cloud NAT
Dans la section précédente, vous avez créé une VM sans adresse IP externe. Pour permettre à la VM d'accéder à l'Internet public, créez un routeur Cloud Router et une passerelle Cloud NAT pour la même région et le même sous-réseau que ceux où vous avez créé votre VM.
Dans Google Cloud Console, accédez à la page Cloud NAT.
Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.
Remarque : S'il s'agit de la première passerelle Cloud NAT que vous créez, cliquez sur Premiers pas. Si vous disposez déjà de passerelles, Google Cloud affiche le bouton Créer une passerelle Cloud NAT. Pour créer une autre passerelle, cliquez sur Créer une passerelle Cloud NAT.
Dans le champ Nom de la passerelle, saisissez
fw-egress-nat-gw
.Dans le champ Type de NAT, sélectionnez Publique.
Dans la section Sélectionner le routeur Cloud Router, spécifiez les paramètres de configuration suivants :
- Réseau : sélectionnez vpc-fw-policy-egress.
- Région : sélectionnez us-central1 (Iowa).
- Cloud Router : cliquez sur Créer un routeur.
- Dans le champ Nom, saisissez
fw-egress-router
. - Cliquez sur Créer.
- Dans le champ Nom, saisissez
Cliquez sur Créer.
Créer une stratégie de pare-feu de réseau mondial pour activer IAP
Pour activer Identity-Aware Proxy pour les VM de votre réseau, créez une stratégie de pare-feu de réseau mondial et ajoutez-y une règle de pare-feu. IAP autorise l'accès administrateur aux VM.
La règle de pare-feu doit présenter les propriétés suivantes :
- Elle s'applique à toutes les VM que vous souhaitez rendre accessibles à l'aide du transfert TCP d'IAP.
- Elle autorise le trafic entrant à partir de la plage IP
35.235.240.0/20
. Cette plage contient toutes les adresses IP qu'IAP utilise pour le transfert TCP. - Elle autorise la connexion à tous les ports que vous souhaitez rendre accessible à l'aide du transfert TCP d'IAP, par exemple, le port
22
pour SSH.
Pour activer l'accès à IAP à toutes les VM du réseau vpc-fw-policy-egress
, procédez comme suit :
Dans la console Google Cloud, accédez à la page Règles d'administration.
Cliquez sur Créer une stratégie de pare-feu.
Dans la section Configurer la stratégie, pour le Nom de la stratégie, saisissez
fw-egress-policy
.Sous Champ d'application du déploiement, sélectionnez Global, puis cliquez sur Continuer.
Pour créer des règles pour votre stratégie, dans la section Ajouter des règles, cliquez sur Ajouter une règle.
- Dans le champ Priorité, saisissez
100
. - Pour le Sens du trafic, sélectionnez Entrée.
- Pour l'option Action en cas de correspondance, sélectionnez Autoriser.
- Pour le champ Journaux, sélectionnez Activé.
- Dans la section Cible, pour le champ Type de cible, sélectionnez Toutes les instances du réseau.
- Dans la section Source, sous Plages d'adresses IP, saisissez
35.235.240.0/20
. - Dans la section Protocoles et ports, sélectionnez Protocoles et ports spécifiés.
- Cochez la case TCP et, pour le champ Ports, saisissez
22
. - Cliquez sur Créer.
- Dans le champ Priorité, saisissez
Cliquez sur Continuer.
Pour associer le réseau VPC à la stratégie, dans la section Associer la stratégie à des réseaux VPC, cliquez sur Associer.
Cochez la case vpc-fw-policy-egress, puis cliquez sur Associer.
Cliquez sur Continuer.
Cliquez sur Créer.
Ajouter une règle de pare-feu pour refuser le trafic de sortie vers toutes les destinations
Pour refuser le trafic de sortie vers toutes les destinations, ajoutez une règle de pare-feu à fw-egress-policy
.
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-egress-policy.
Cliquez sur Créer une règle.
Dans le champ Priorité, saisissez
700
.Pour le champ Sens du trafic, sélectionnez Sortie.
Dans le champ Action en cas de correspondance, sélectionnez Refuser.
Pour le champ Journaux, sélectionnez Activé.
Dans la section Destination, pour le champ Plages d'adresses IP, saisissez
0.0.0.0/0
.Cliquez sur Créer.
Ajouter une règle de pare-feu pour autoriser le trafic sortant vers un nom de domaine complet spécifique uniquement
Pour autoriser le trafic sortant vers un nom de domaine complet spécifique, ads.google.com
, ajoutez une règle de pare-feu dans fw-egress-policy
.
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-egress-policy.
Cliquez sur Créer une règle.
Dans le champ Priorité, saisissez
600
.Pour le champ Sens du trafic, sélectionnez Sortie.
Pour l'option Action en cas de correspondance, sélectionnez Autoriser.
Pour le champ Journaux, sélectionnez Activé.
Pour le champ Noms de domaine complets de la section Destination, saisissez
ads.google.com
.Cliquez sur Créer.
Tester la stratégie de pare-feu de réseau au niveau mondial
Après avoir configuré la stratégie de pare-feu réseau au niveau mondial, procédez comme suit pour la tester :
Dans Google Cloud Console, accédez à la page Instances de VM.
Dans la colonne Connecter de la VM
instance-1-us
, cliquez sur SSH.Dans la boîte de dialogue SSH dans votre navigateur, cliquez sur Autoriser et attendez que la connexion soit établie.
Pour vérifier que le trafic de sortie vers https://ads.google.com est autorisé, exécutez la commande suivante :
curl -I https://ads.google.com
La commande précédente renvoie les informations d'en-tête de https://ads.google.com, ce qui signifie que les connexions de sortie sont autorisées.
Pour vérifier que le trafic de sortie est bloqué vers toute autre destination, spécifiez un nom de domaine complet et exécutez la commande suivante :
curl -m 2 -I https://mail.yahoo.com
La commande ci-dessus renvoie un message
Connection timed out
, ce qui est normal, car vous avez créé une règle de pare-feu pour refuser le trafic sortant vers toutes les destinations, à l'exception de https://ads.google.com.
Afficher les journaux
Vous pouvez vérifier que les règles de pare-feu ont été appliquées au trafic de sortie en accédant aux journaux. Pour afficher les détails du journal, procédez comme suit :
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-egress-policy.
Dans la colonne Nombre d'appels, cliquez sur le numéro de la règle créée dans la section Créer une stratégie de pare-feu de réseau au niveau mondial. La page Explorateur de journaux s'affiche.
Pour afficher la règle de pare-feu appliquée au trafic de sortie, développez le journal individuel. Vous pouvez afficher les détails de la connexion, de la disposition, de l'emplacement distant et de la règle en développant les sections correspondantes.
Effectuer un nettoyage
Pour éviter que les ressources utilisées lors de ce guide de démarrage rapide soient facturées sur votre compte Google Cloud, supprimez le projet contenant les ressources, ou conservez le projet et supprimez chaque ressource individuellement.
Pour supprimer les ressources créées dans ce guide de démarrage rapide, procédez comme suit :
Supprimer la stratégie de pare-feu
Dans la console Google Cloud, accédez à la page Règles d'administration.
Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-egress-policy.
Cliquez sur l'onglet Associations.
Cochez la case correspondant à
vpc-fw-policy-egress
, puis cliquez sur Supprimer l'association.Dans la boîte de dialogue Supprimer une association de stratégie de pare-feu, cliquez sur Supprimer.
Cliquez sur Supprimer.
Dans la boîte de dialogue Supprimer une stratégie de pare-feu, cliquez sur Supprimer.
Supprimer la VM
Dans Google Cloud Console, accédez à la page Instances de VM.
Cochez la case correspondant à la VM
instance-1-us
.Cliquez sur Supprimer.
Dans la boîte de dialogue Supprimer instance-1-us, cliquez sur Supprimer.
Supprimer la passerelle Cloud NAT et le routeur Cloud Router
Dans la console Google Cloud, accédez à la page Routeurs cloud.
Sélectionnez la case à cocher correspondant à
fw-egress-router
.Cliquez sur Supprimer.
Dans la boîte de dialogue Supprimer fw-egress-router, cliquez sur Supprimer.
Lorsque vous supprimez un routeur Cloud Router, la passerelle Cloud NAT associée est également supprimée.
Supprimer le réseau VPC et ses sous-réseaux
Dans la console Google Cloud, accédez à la page Réseaux VPC.
Dans la colonne Nom, cliquez sur vpc-fw-policy-egress.
Cliquez sur Supprimer le réseau VPC.
Dans la boîte de dialogue Supprimer un réseau, cliquez sur Supprimer.
Lorsque vous supprimez un réseau VPC, ses sous-réseaux sont également supprimés.
Étapes suivantes
- Pour en savoir plus sur les concepts liés aux stratégies de pare-feu, consultez la page Présentation des stratégies de pare-feu.
- Pour en savoir plus sur les concepts liés aux règles de stratégie de pare-feu, consultez la page Présentation des règles de stratégie de pare-feu.
- Pour créer, mettre à jour, surveiller ou supprimer des règles de pare-feu VPC, consultez la section Utiliser des règles de pare-feu VPC.
- Pour déterminer les coûts, consultez la section Tarifs de Cloud NGFW.