Stratégies de pare-feu de réseau au niveau mondial

Les règles de pare-feu réseau au niveau mondial vous permettent de mettre à jour par lot toutes les règles de pare-feu en les regroupant en un seul objet de stratégie. Vous pouvez attribuer des stratégies de pare-feu réseau à un réseau cloud privé virtuel (VPC). Ces stratégies contiennent des règles qui peuvent explicitement refuser ou autoriser des connexions.

Spécifications

  • Les stratégies de pare-feu réseau au niveau mondial sont des ressources de conteneurs pour les règles de pare-feu. Chaque ressource de stratégie de pare-feu réseau au niveau mondial est définie dans un projet.
    • Une fois que vous avez créé une stratégie de pare-feu réseau au niveau mondial, vous pouvez ajouter, mettre à jour et supprimer des règles de pare-feu dans la stratégie.
    • Pour en savoir plus sur les règles des stratégies de pare-feu réseau au niveau mondial, consultez la page Règles de stratégie de pare-feu.
  • Pour appliquer des règles de stratégie de pare-feu réseau au niveau mondial à un réseau VPC, vous devez associer la stratégie de pare-feu à ce réseau VPC.
    • Vous pouvez associer une stratégie de pare-feu réseau au niveau mondial à plusieurs réseaux VPC. Assurez-vous que la stratégie de pare-feu et les réseaux associés appartiennent au même projet.
    • Chaque réseau VPC ne peut être associé qu'à une stratégie de pare-feu de réseau mondial.
    • Si la stratégie de pare-feu n'est associée à aucun réseau VPC, les règles de cette stratégie n'ont aucun effet. Une stratégie de pare-feu qui n'est associée à aucun réseau est une stratégie de pare-feu réseau au niveau mondial non associée.
  • Lorsqu'une stratégie de pare-feu réseau au niveau mondial est associée à un ou plusieurs réseaux VPC, les règles des stratégies de pare-feu sont appliquées des manières suivantes :
    • Les règles existantes sont appliquées aux ressources applicables dans les réseaux VPC associés.
    • Toutes les modifications apportées aux règles sont appliquées aux ressources applicables dans les réseaux VPC associés.
  • Les règles des stratégies de pare-feu réseau au niveau mondial sont appliquées avec les autres règles de pare-feu, comme décrit dans la section Ordre d'évaluation des stratégies et des règles.
  • Les règles des stratégies de pare-feu réseau au niveau mondial sont utilisées pour configurer l'inspection de couche 7 du trafic correspondant, par exemple lors de l'utilisation du service de prévention des intrusions.

    Vous créez une règle de stratégie de pare-feu avec l'action apply_security_profile_group et le nom du groupe de profils de sécurité. Le trafic correspondant à la règle de stratégie de pare-feu est transféré de manière transparente vers le point de terminaison de pare-feu pour l'inspection de couche 7. Pour en savoir plus sur la création d'une règle de stratégie de pare-feu, consultez la section Créer des règles de pare-feu de réseau au niveau mondial.

Détails des règles des stratégies de pare-feu de réseau au niveau mondial

Pour plus d'informations sur les composants et les paramètres des règles d'une stratégie de pare-feu réseau au niveau mondial, consultez la page Règles de stratégie de pare-feu.

Le tableau suivant récapitule les principales différences entre les règles de stratégie de pare-feu réseau au niveau mondial et les règles de pare-feu VPC :

Règles de stratégie de pare-feu de réseau au niveau mondial Règles de pare-feu VPC
Numéro de priorité Doit être unique dans une règle. Priorités en double autorisées
Comptes de service en tant que cibles Yes Yes
Comptes de service en tant que sources
(règles d'entrée uniquement)
Non Yes
Type de tag Tag sécurisé Balise de réseau
Nom et description Nom, stratégie et description de la stratégie Nom et description de la règle
Mise à jour groupée Oui (fonctions de clonage, de modification et de remplacement de règle) Non
Réutiliser Yes Non
Quotas Nombre d'attributs : basé sur une complexité totale de chaque règle de la stratégie Nombre de règles : les règles de pare-feu simples et complexes ont le même impact sur les quotas

Règles prédéfinies

Lorsque vous créez une stratégie de pare-feu de réseau mondiale, Cloud Next Generation Firewall ajoute des règles prédéfinies avec la priorité la plus basse à la stratégie. Ces règles sont appliquées à toutes les connexions qui ne correspondent pas à une règle définie explicitement dans la stratégie, ce qui entraîne leur transmission à des stratégies de niveau inférieur ou à des règles de réseau.

Pour en savoir plus sur les différents types de règles prédéfinies et leurs caractéristiques, consultez la section Règles prédéfinies.

rôles IAM (Identity and Access Management)

Les rôles IAM régissent les actions suivantes en ce qui concerne les stratégies de pare-feu réseau au niveau mondial :

  • Créer une stratégie de pare-feu de réseau au niveau mondial
  • Associer une stratégie à un réseau
  • Modifier une stratégie existante
  • Afficher les stratégies de pare-feu en vigueur pour un réseau ou une VM spécifique

Le tableau suivant décrit les rôles nécessaires pour chaque action :

Action Rôle nécessaire
Créer une règle de pare-feu réseau au niveau mondial Rôle compute.securityAdmin sur le projet auquel appartient la stratégie
Associer une stratégie à un réseau Rôle compute.networkAdmin sur le projet hébergeant la stratégie
Modifier la stratégie en ajoutant, en mettant à jour ou en supprimant des règles de stratégie de pare-feu Rôle compute.securityAdmin sur le projet contenant la stratégie
Supprimer la stratégie Rôle compute.networkAdmin sur le projet hébergeant la stratégie
Afficher les stratégies de pare-feu efficaces pour un réseau VPC L'un des rôles suivants pour le réseau :
compute.networkAdmin
compute.networkViewer
compute.securityAdmin
compute.viewer
Afficher les stratégies de pare-feu efficaces pour une VM dans un réseau L'un des rôles suivants pour la VM :
compute.instanceAdmin
compute.securityAdmin
compute.viewer

Les rôles suivants sont pertinents pour les stratégies de pare-feu réseau au niveau mondial.

Nom de rôle Description
compute.securityAdmin Peut être attribué au niveau du projet ou de la stratégie. Si ce rôle est accordé pour un projet, permet aux utilisateurs de créer, de mettre à jour et de supprimer des stratégies de pare-feu réseau au niveau mondial et leurs règles. Au niveau des stratégies, permet aux utilisateurs de mettre à jour les règles de stratégie, mais pas de les créer ni de les supprimer. Ce rôle permet également aux utilisateurs d'associer une stratégie à un réseau.
compute.networkAdmin Accordé au niveau du projet ou du réseau. Si ce rôle est accordé pour un réseau, il permet aux utilisateurs d'afficher la liste des stratégies de pare-feu réseau au niveau mondial.
compute.viewer
compute.networkUser
compute.networkViewer
Permet aux utilisateurs d'afficher les règles de pare-feu appliquées au réseau ou à l'instance.
Fournit l'autorisation compute.networks.getEffectiveFirewalls pour les réseaux et l'autorisation compute.instances.getEffectiveFirewalls pour les instances.