Tables de pare-feu
Une table de pare-feu répertorie les règles permettant de filtrer le trafic réseau vers et depuis des ressources de cloud privé. Les règles de pare-feu contrôlent le trafic réseau entre une adresse IP ou un réseau source, et entre une adresse IP ou un réseau de destination.
Après avoir configuré la table de pare-feu et les règles de pare-feu, vous pouvez associer la table à un sous-réseau pour appliquer les règles correspondantes. Vous pouvez appliquer une table de pare-feu à plusieurs sous-réseaux, mais un sous-réseau ne peut être associé qu'à une seule table de pare-feu.
Les tables de pare-feu permettent de contrôler l'accès aux adresses IP externes. Pour tous les autres contrôles d'accès, gérez les paramètres de pare-feu dans le centre de données NSX-T. Pour en savoir plus, consultez la section Pare-feu en mode gestionnaire.
Créer une table de pare-feu
- Accédez au portail Google Cloud VMware Engine.
- Accédez à Network > Firewall tables (Réseau > Tables de pare-feu).
- Cliquez sur Create new firewall table (Créer une table de pare-feu).
- Saisissez un nom pour la table.
- Vous pouvez également ajouter des règles de pare-feu. Chaque table de pare-feu commence par un ensemble de règles de pare-feu par défaut.
- Cliquez sur Done (Terminé) pour enregistrer la table de pare-feu.
Associer une table de pare-feu à un sous-réseau
Après avoir défini une table de pare-feu, vous pouvez spécifier les sous-réseaux soumis aux règles qu'elle contient.
- Sur la page Réseau > Tables de pare-feu, sélectionnez une table de pare-feu.
- Sélectionnez l'onglet Sous-réseaux associés.
- Cliquez sur Associer un sous-réseau.
- Sélectionnez le cloud privé auquel vous souhaitez associer la table de pare-feu.
- Sélectionnez le sous-réseau NsxtEdgeUplink1 de ce cloud privé.
- Cliquez sur Submit (Envoyer).
- Répétez les étapes ci-dessus pour le sous-réseau NsxtEdgeUplink2 de ce cloud privé.
Règles de pare-feu
Les règles de pare-feu déterminent la manière dont le pare-feu traite les types de trafic spécifiques. L'onglet Règles d'une table de pare-feu sélectionnée répertorie toutes les règles associées.
Pour créer une règle de pare-feu, procédez comme suit :
- Accédez à Network > Firewall tables (Réseau > Tables de pare-feu).
- Sélectionnez la table de pare-feu.
- Cliquez sur Create new rule (Créer une règle).
- Définissez les propriétés souhaitées pour la règle de pare-feu.
- Cliquez sur Done (souhaitées) pour enregistrer la règle et l'ajouter à la liste des règles de la table de pare-feu.
Règles avec état
Une règle de pare-feu avec état permet de suivre les connexions qui l'utilisent. Une règle avec état crée un enregistrement de flux pour les connexions existantes. La communication est autorisée ou refusée en fonction de l'état de connexion de l'enregistrement de flux. Utilisez ce type de règle pour les adresses IP publiques afin de filtrer le trafic provenant d'Internet.
Règles de pare-feu par défaut
Chaque table de pare-feu comporte les règles de pare-feu par défaut suivantes :
| Priorité | Nom | Direction | Type de trafic | Protocole | Source | Port source | Destination | Port de destination | Action |
|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-tcp-to-internet | Sortant | Adresse IP publique ou trafic Internet | TCP | Tout | Tout | Tout | Tout | Autoriser |
| 65001 | allow-udp-to-internet | Sortant | Adresse IP publique ou trafic Internet | UDP | Tout | Tout | Tout | Tout | Autoriser |
| 65002 | allow-icmp-to-internet | Sortant | Adresse IP publique ou trafic Internet | ICMP | Tout | Tout | Tout | Tout | Autoriser |
| 65100 | deny-all-from-internet | Entrant | Adresse IP publique ou trafic Internet | Tous les protocoles | Tout | Tout | Tout | Tout | Refuser |
| 65101 | allow-all-to-intranet | Sortant | Cloud privé interne ou trafic VPN | Tous les protocoles | Tout | Tout | Tout | Tout | Autoriser |
| 65102 | allow-all-from-intranet | Entrant | Cloud privé interne ou trafic VPN | Tous les protocoles | Tout | Tout | Tout | Tout | Autoriser |
Propriétés d'une règle de pare-feu
Le tableau suivant décrit les propriétés d'une règle de pare-feu :
| Propriété | Description |
|---|---|
| Nom | Nom identifiant de manière unique la règle de pare-feu et son objectif. |
| Priorité | Nombre compris entre 100 et 4 096, 100 représentant la priorité la plus élevée. Les règles sont traitées par ordre de priorité. En cas de correspondance du trafic avec une règle, le traitement des règles s'arrête. Les règles de priorités inférieures ayant les mêmes attributs que les règles de priorités supérieures ne sont pas traitées. Veillez à éviter les règles conflictuelles. |
| Protocole | Protocole Internet couvert par la règle. |
| Sens | Indique si la règle s'applique au trafic entrant ou sortant. Vous devez définir des règles distinctes pour le trafic entrant et sortant. |
| Action | Autorisez ou refusez le type de trafic défini dans la règle. |
| Source | Une adresse IP, un bloc CIDR (Classless Inter-Domain Routing), par exemple 10.0.0.0/24, ou la valeur "Tout". |
| Plage de ports sources | Port d'où provient le trafic réseau. Vous pouvez spécifier un seul port ou une plage de ports, tels que 443 ou 8000-8080. La spécification d'une plage vous permet de créer moins de règles de sécurité. |
| Destination | Une adresse IP, un bloc CIDR (10.0.0.0/24, par exemple) ou la valeur "Tout". |
| Plage du port de destination | Port de destination du trafic réseau. Vous pouvez spécifier un seul port ou une plage de ports, tels que 443 ou 8000-8080. Spécifier une plage vous permet de créer moins de règles de sécurité. |