Configurer une stratégie de pare-feu de réseau mondial pour autoriser le trafic sortant vers un nom de domaine complet

Découvrez comment créer et configurer une stratégie de pare-feu de réseau mondial pour autoriser le trafic de sortie vers un nom de domaine complet spécifique à l'aide de la console Google Cloud. La stratégie de pare-feu bloque tout autre trafic sortant provenant de votre réseau. Ce guide de démarrage rapide permet de créer un réseau cloud privé virtuel (VPC) avec un sous-réseau, de créer une instance de machine virtuelle (VM) dans le réseau VPC, de configurer une stratégie de pare-feu utilisant des règles de sortie, puis de tester la stratégie de pare-feu de la VM.

Avant de commencer

1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Vérifiez que la facturation est activée pour votre projet Google Cloud.

4. Activer les API Compute Engine and Identity-Aware Proxy (IAP) .

   Activer les API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Vérifiez que la facturation est activée pour votre projet Google Cloud.

7. Activer les API Compute Engine and Identity-Aware Proxy (IAP) .

   Activer les API

8. Assurez-vous de disposer du rôle d'administrateur de réseaux Compute (roles/compute.networkAdmin).

Créer un réseau VPC personnalisé avec un sous-réseau IPv4

Créez un réseau VPC en mode personnalisé avec un sous-réseau IPv4.

1. Dans Google Cloud Console, accédez à la page Réseaux VPC.

   Accéder aux réseaux VPC

2. Cliquez sur Créer un réseau VPC.

3. Dans le champ Nom, saisissez vpc-fw-policy-egress.

4. Dans le champ Mode de création de sous-réseau, sélectionnez Personnalisé.

5. Dans la section Nouveau sous-réseau, spécifiez les paramètres de configuration de sous-réseau suivants :

   • Nom : saisissez subnet-1.
   • Région : sélectionnez us-central1.
   • Plage IPv4 : saisissez 10.0.0.0/24.

6. Cliquez sur OK.

7. Cliquez sur Créer.

Créer une VM

Créez une VM dans le sous-réseau que vous avez configuré dans la section précédente.

1. Accédez à la page Créer une instance dans Google Cloud Console.

   Accéder à la page Créer une instance

2. Dans le champ Nom, saisissez instance-1-us.

3. Pour Région, sélectionnez us-central1 (Iowa).

4. Développez la section Options avancées, puis Mise en réseau.

5. Dans la section Interfaces réseau, développez l'interface réseau existante et spécifiez les paramètres de configuration suivants :

   • Réseau : sélectionnez vpc-fw-policy-egress.
   • Sous-réseau : sélectionnez IPv4 de sous-réseau 1 (10.0.0.0/24).
   • Adresse IPv4 externe : sélectionnez Aucune.

6. Cliquez sur OK.

7. Cliquez sur Créer.

Créer un routeur Cloud Router et une passerelle Cloud NAT

Dans la section précédente, vous avez créé une VM sans adresse IP externe. Pour permettre à la VM d'accéder à l'Internet public, créez un routeur Cloud Router et une passerelle Cloud NAT pour la même région et le même sous-réseau que ceux où vous avez créé votre VM.

1. Dans Google Cloud Console, accédez à la page Cloud NAT.

   Accédez à Cloud NAT

2. Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.

   Remarque : S'il s'agit de la première passerelle Cloud NAT que vous créez, cliquez sur Premiers pas. Si vous disposez déjà de passerelles, Google Cloud affiche le bouton Créer une passerelle Cloud NAT. Pour créer une autre passerelle, cliquez sur Créer une passerelle Cloud NAT.

3. Dans le champ Nom de la passerelle, saisissez fw-egress-nat-gw.

4. Dans le champ Type de NAT, sélectionnez Publique.

5. Dans la section Sélectionner le routeur Cloud Router, spécifiez les paramètres de configuration suivants :

   • Réseau : sélectionnez vpc-fw-policy-egress.
   • Région : sélectionnez us-central1 (Iowa).
   • Cloud Router : cliquez sur Créer un routeur.
     1. Dans le champ Nom, saisissez fw-egress-router.
     2. Cliquez sur Créer.

6. Cliquez sur Créer.

Créer une stratégie de pare-feu de réseau mondial pour activer IAP

Pour activer Identity-Aware Proxy pour les VM de votre réseau, créez une stratégie de pare-feu de réseau mondial et ajoutez-y une règle de pare-feu. IAP autorise l'accès administrateur aux VM.

La règle de pare-feu doit présenter les propriétés suivantes :

• Elle s'applique à toutes les VM que vous souhaitez rendre accessibles à l'aide du transfert TCP d'IAP.
• Elle autorise le trafic entrant à partir de la plage IP 35.235.240.0/20. Cette plage contient toutes les adresses IP qu'IAP utilise pour le transfert TCP.
• Elle autorise la connexion à tous les ports que vous souhaitez rendre accessible à l'aide du transfert TCP d'IAP, par exemple, le port 22 pour SSH.

Pour activer l'accès à IAP à toutes les VM du réseau vpc-fw-policy-egress, procédez comme suit :

1. Dans la console Google Cloud, accédez à la page Règles d'administration.

   Accéder à la page "Stratégies de pare-feu"

2. Cliquez sur Créer une stratégie de pare-feu.

3. Dans la section Configurer la stratégie, pour le Nom de la stratégie, saisissez fw-egress-policy.

4. Sous Champ d'application du déploiement, sélectionnez Global, puis cliquez sur Continuer.

5. Pour créer des règles pour votre stratégie, dans la section Ajouter des règles, cliquez sur Ajouter une règle.

   1. Dans le champ Priorité, saisissez 100.
   2. Pour le Sens du trafic, sélectionnez Entrée.
   3. Pour l'option Action en cas de correspondance, sélectionnez Autoriser.
   4. Pour le champ Journaux, sélectionnez Activé.
   5. Dans la section Cible, pour le champ Type de cible, sélectionnez Toutes les instances du réseau.
   6. Dans la section Source, sous Plages d'adresses IP, saisissez 35.235.240.0/20.
   7. Dans la section Protocoles et ports, sélectionnez Protocoles et ports spécifiés.
   8. Cochez la case TCP et, pour le champ Ports, saisissez 22.
   9. Cliquez sur Créer.

6. Cliquez sur Continuer.

7. Pour associer le réseau VPC à la stratégie, dans la section Associer la stratégie à des réseaux VPC, cliquez sur Associer.

8. Cochez la case vpc-fw-policy-egress, puis cliquez sur Associer.

9. Cliquez sur Continuer.

10. Cliquez sur Créer.

Ajouter une règle de pare-feu pour refuser le trafic sortant vers toutes les destinations

Pour refuser le trafic sortant vers toutes les destinations, ajoutez une règle de pare-feu à fw-egress-policy.

1. Dans la console Google Cloud, accédez à la page Règles d'administration.

   Accéder à la page "Stratégies de pare-feu"

2. Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-egress-policy.

3. Cliquez sur Créer une règle.

4. Dans le champ Priorité, saisissez 700.

5. Pour le champ Sens du trafic, sélectionnez Sortie.

6. Dans le champ Action en cas de correspondance, sélectionnez Refuser.

7. Pour le champ Journaux, sélectionnez Activé.

8. Dans la section Destination, pour le champ Plages d'adresses IP, saisissez 0.0.0.0/0.

9. Cliquez sur Créer.

Ajouter une règle de pare-feu pour autoriser le trafic sortant vers un nom de domaine complet spécifique uniquement

Pour autoriser le trafic sortant vers un nom de domaine complet spécifique, ads.google.com, ajoutez une règle de pare-feu dans fw-egress-policy.

1. Dans la console Google Cloud, accédez à la page Règles d'administration.

   Accéder à la page "Stratégies de pare-feu"

2. Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-egress-policy.

3. Cliquez sur Créer une règle.

4. Dans le champ Priorité, saisissez 600.

5. Pour le champ Sens du trafic, sélectionnez Sortie.

6. Pour l'option Action en cas de correspondance, sélectionnez Autoriser.

7. Pour le champ Journaux, sélectionnez Activé.

8. Pour les noms de domaine complets de la section Destination, saisissez ads.google.com.

9. Cliquez sur Créer.

Tester la stratégie de pare-feu de réseau au niveau mondial

Après avoir configuré la stratégie de pare-feu réseau au niveau mondial, procédez comme suit pour la tester :

1. Dans Google Cloud Console, accédez à la page Instances de VM.

   Accéder à la page "Instances de VM"

2. Dans la colonne Connecter de la VM instance-1-us, cliquez sur SSH.

3. Dans la boîte de dialogue SSH dans votre navigateur, cliquez sur Autoriser et attendez que la connexion soit établie.

4. Pour vérifier que le trafic de sortie vers https://ads.google.com est autorisé, exécutez la commande suivante :

     curl -I https://ads.google.com
   

   La commande précédente renvoie les informations d'en-tête https://ads.google.com, ce qui signifie que les connexions de sortie sont autorisées.

5. Pour vérifier que le trafic de sortie est bloqué vers toute autre destination, spécifiez un nom de domaine complet et exécutez la commande suivante :

     curl -m 2 -I https://mail.yahoo.com
   

   La commande ci-dessus renvoie un message Connection timed out, ce qui est normal, car vous avez créé une règle de pare-feu pour refuser le trafic sortant vers toutes les destinations, à l'exception de https://ads.google.com.

Afficher les journaux

Vous pouvez vérifier que les règles de pare-feu ont été appliquées au trafic de sortie en accédant aux journaux. Pour afficher les détails du journal, procédez comme suit :

1. Dans la console Google Cloud, accédez à la page Règles d'administration.

   Accéder à la page "Stratégies de pare-feu"

2. Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-egress-policy.

3. Dans la colonne Nombre d'appels, cliquez sur le numéro de la règle créée dans la section Créer une stratégie de pare-feu de réseau au niveau mondial. La page Explorateur de journaux s'affiche.

4. Pour afficher la règle de pare-feu appliquée au trafic de sortie, développez le journal individuel. Vous pouvez afficher les informations relatives à la connexion, à la disposition, à l'emplacement distant et aux détails de la règle en développant les sections correspondantes.

Effectuer un nettoyage

Pour éviter que les ressources utilisées lors de ce guide de démarrage rapide soient facturées sur votre compte Google Cloud, supprimez le projet contenant les ressources, ou conservez le projet et supprimez chaque ressource individuellement.

Pour supprimer les ressources créées dans ce guide de démarrage rapide, procédez comme suit :

Supprimer la stratégie de pare-feu

1. Dans la console Google Cloud, accédez à la page Règles d'administration.

   Accéder à la page "Stratégies de pare-feu"

2. Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-egress-policy.

3. Cliquez sur l'onglet Associations.

4. Cochez la case correspondant à vpc-fw-policy-egress, puis cliquez sur Supprimer l'association.

5. Dans la boîte de dialogue Supprimer une association de stratégie de pare-feu, cliquez sur Supprimer.

6. Cliquez sur Supprimer.

7. Dans la boîte de dialogue Supprimer une stratégie de pare-feu, cliquez sur Supprimer.

Supprimer la VM

1. Dans Google Cloud Console, accédez à la page Instances de VM.

   Accéder à la page "Instances de VM"

2. Cochez la case correspondant à la VM instance-1-us.

3. Cliquez sur Supprimer.

4. Dans la boîte de dialogue Supprimer instance-1-us, cliquez sur Supprimer.

Supprimer la passerelle Cloud NAT et le routeur Cloud Router

1. Dans la console Google Cloud, accédez à la page Routeurs cloud.

   Accéder aux routeurs cloud

2. Sélectionnez la case à cocher correspondant à fw-egress-router.

3. Cliquez sur Supprimer.

4. Dans la boîte de dialogue Supprimer fw-egress-router, cliquez sur Supprimer.

Lorsque vous supprimez un routeur Cloud Router, la passerelle Cloud NAT associée est également supprimée.

Supprimer le réseau VPC et ses sous-réseaux

1. Dans Google Cloud Console, accédez à la page Réseaux VPC.

   Accéder aux réseaux VPC

2. Dans la colonne Nom, cliquez sur vpc-fw-policy-egress.

3. Cliquez sur Supprimer le réseau VPC.

4. Dans la boîte de dialogue Supprimer un réseau, cliquez sur Supprimer.

Lorsque vous supprimez un réseau VPC, ses sous-réseaux sont également supprimés.

Étapes suivantes

• Pour en savoir plus sur les concepts liés aux stratégies de pare-feu, consultez la page Présentation des stratégies de pare-feu.
• Pour en savoir plus sur les concepts liés aux règles de stratégie de pare-feu, consultez la page Présentation des règles de stratégie de pare-feu.
• Pour créer, mettre à jour, surveiller ou supprimer des règles de pare-feu VPC, consultez la section Utiliser des règles de pare-feu VPC.
• Pour déterminer les coûts, consultez la section Tarifs de Cloud NGFW.