Tables de pare-feu

Une table de pare-feu répertorie les règles permettant de filtrer le trafic réseau vers et depuis des ressources de cloud privé. Les règles de pare-feu contrôlent le trafic réseau entre une adresse IP ou un réseau source, et entre une adresse IP ou un réseau de destination.

Après avoir configuré la table de pare-feu et les règles de pare-feu, vous pouvez associer la table à un sous-réseau pour appliquer les règles correspondantes. Vous pouvez appliquer une table de pare-feu à plusieurs sous-réseaux, mais un sous-réseau ne peut être associé qu'à une seule table de pare-feu.

Les tables de pare-feu ne peuvent être appliquées qu'aux sous-réseaux de gestion. Pour les sous-réseaux contenant des VM de charge de travail, gérez plutôt les paramètres du pare-feu dans le centre de données NSX-T. Pour en savoir plus, consultez la section Pare-feu en mode gestionnaire.

Créer une table de pare-feu

  1. Accédez au portail Google Cloud VMware Engine.
  2. Accédez à Network > Firewall tables (Réseau > Tables de pare-feu).
  3. Cliquez sur Create new firewall table (Créer une table de pare-feu).
  4. Saisissez un nom pour la table.
  5. Vous pouvez également ajouter des règles de pare-feu. Chaque table de pare-feu commence par un ensemble de règles de pare-feu par défaut.
  6. Cliquez sur Done (Terminé) pour enregistrer la table de pare-feu.

Associer une table de pare-feu à un sous-réseau

Après avoir défini une table de pare-feu, vous pouvez spécifier les sous-réseaux soumis aux règles qu'elle contient.

  1. Sur la page Réseau > Tables de pare-feu, sélectionnez une table de pare-feu.
  2. Ouvrez l'onglet Sous-réseaux associés.
  3. Cliquez sur Associer un sous-réseau.
  4. Sélectionnez le cloud privé et le sous-réseau. Si les règles créées par l'utilisateur dans votre table ne s'appliquent qu'aux adresses IP publiques ou à Internet, associez la table au sous-réseau de gestion système.
  5. Cliquez sur Envoyer.

Règles de pare-feu

Les règles de pare-feu déterminent la manière dont le pare-feu traite les types de trafic spécifiques. L'onglet Règles d'une table de pare-feu sélectionnée répertorie toutes les règles associées.

Pour créer une règle de pare-feu, procédez comme suit :

  1. Accédez à Network > Firewall tables (Réseau > Tables de pare-feu).
  2. Sélectionnez la table de pare-feu.
  3. Cliquez sur Create new rule (Créer une règle).
  4. Définissez les propriétés souhaitées pour la règle de pare-feu.
  5. Cliquez sur Done (souhaitées) pour enregistrer la règle et l'ajouter à la liste des règles de la table de pare-feu.

Règles sans état

Une règle de pare-feu sans état n'examine que les paquets individuels et les filtre en fonction de la règle. Utilisez des règles sans état pour le trafic entre les points suivants :

  • Sous-réseaux de clouds privés
  • Sous-réseau sur site et sous-réseau de cloud privé
  • Trafic Internet provenant des clouds privés

Règles avec état

Une règle de pare-feu avec état permet de suivre les connexions qui l'utilisent. Une règle avec état crée un enregistrement de flux pour les connexions existantes. La communication est autorisée ou refusée en fonction de l'état de connexion de l'enregistrement de flux. Utilisez ce type de règle pour les adresses IP publiques afin de filtrer le trafic provenant d'Internet.

Règles de pare-feu par défaut

Chaque table de pare-feu comporte les règles de pare-feu par défaut suivantes :

Priorité Nom Suivi de l'état Direction Type de trafic Protocole Source Port source Destination Port de destination Action
65 000 allow-all-to-internet Avec état Sortant Adresse IP publique ou trafic Internet All Tout Tout Tout Tout Autoriser
65001 deny-all-from-internet Avec état Entrant Adresse IP publique ou trafic Internet All Tout Tout Tout Tout Refuser
65002 allow-all-to-intranet Sans état Sortant Cloud privé interne ou trafic VPN All Tout Tout Tout Tout Autoriser
65003 allow-all-from-intranet Sans état Entrant Cloud privé interne ou trafic VPN All Tout Tout Tout Tout Autoriser

Propriétés des règles de pare-feu

Le tableau suivant décrit les propriétés d'une règle de pare-feu :

Paramètre Détails
Nom Nom identifiant de manière unique la règle de pare-feu et son objectif.
Priorité Nombre compris entre 100 et 4 096, 100 représentant la priorité la plus élevée. Les règles sont traitées par ordre de priorité. En cas de correspondance du trafic avec une règle, le traitement des règles s'arrête. Les règles de priorités inférieures ayant les mêmes attributs que les règles de priorités supérieures ne sont pas traitées. Veillez à éviter les règles conflictuelles.
Type de trafic Le suivi peut être sans état (cloud privé, Internet ou VPN) ou avec état (adresse IP publique).
Protocol (Protocole) Indique si la règle s'applique au protocole TCP ou UDP.
Sens Indique si la règle s'applique au trafic entrant ou sortant. Vous devez définir des règles distinctes pour le trafic entrant et sortant.
Action Autorisez ou refusez le type de trafic défini dans la règle.
Source Une adresse IP, un bloc CIDR (Classless Inter-Domain Routing), par exemple 10.0.0.0/24, ou la valeur "Tout". La spécification d'une plage, d'un tag de service ou d'un groupe de sécurité d'application vous permet de créer moins de règles de sécurité.
Plage de ports sources Port d'où provient le trafic réseau. Vous pouvez spécifier un seul port ou une plage de ports, tels que 443 ou 8000-8080. La spécification d'une plage vous permet de créer moins de règles de sécurité.
Destination Une adresse IP, un bloc CIDR (10.0.0.0/24, par exemple) ou la valeur "Tout". La spécification d'une plage, d'un tag de service ou d'un groupe de sécurité d'application vous permet de créer moins de règles de sécurité.
Plage du port de destination Port de destination du trafic réseau. Vous pouvez spécifier un seul port ou une plage de ports, tels que 443 ou 8000-8080. Spécifier une plage vous permet de créer moins de règles de sécurité.