Les règles de pare-feu réseau au niveau mondial vous permettent de mettre à jour par lot toutes les règles de pare-feu en les regroupant en un seul objet de stratégie. Vous pouvez attribuer des stratégies de pare-feu réseau à un réseau cloud privé virtuel (VPC). Ces stratégies contiennent des règles qui peuvent explicitement refuser ou autoriser des connexions.
Spécifications
- Les stratégies de pare-feu réseau au niveau mondial sont des ressources de conteneurs pour les règles de pare-feu.
Chaque ressource de stratégie de pare-feu réseau au niveau mondial est définie dans un projet.
- Une fois que vous avez créé une stratégie de pare-feu réseau au niveau mondial, vous pouvez ajouter, mettre à jour et supprimer des règles de pare-feu dans la stratégie.
- Pour en savoir plus sur les règles des stratégies de pare-feu réseau au niveau mondial, consultez la page Règles de stratégie de pare-feu.
- Pour appliquer des règles de stratégie de pare-feu réseau au niveau mondial à un réseau VPC, vous devez associer la stratégie de pare-feu à ce réseau VPC.
- Vous pouvez associer une stratégie de pare-feu réseau au niveau mondial à plusieurs réseaux VPC. Assurez-vous que la stratégie de pare-feu et les réseaux associés appartiennent au même projet.
- Chaque réseau VPC ne peut être associé qu'à une stratégie de pare-feu de réseau mondial.
- Si la stratégie de pare-feu n'est associée à aucun réseau VPC, les règles de cette stratégie n'ont aucun effet. Une stratégie de pare-feu qui n'est associée à aucun réseau est une stratégie de pare-feu réseau au niveau mondial non associée.
- Lorsqu'une stratégie de pare-feu réseau au niveau mondial est associée à un ou plusieurs réseaux VPC, les règles des stratégies de pare-feu sont appliquées des manières suivantes :
- Les règles existantes sont appliquées aux ressources applicables dans les réseaux VPC associés.
- Toutes les modifications apportées aux règles sont appliquées aux ressources applicables dans les réseaux VPC associés.
Les règles des stratégies de pare-feu réseau au niveau mondial sont appliquées avec les autres règles de pare-feu, comme décrit dans la section Ordre d'évaluation des stratégies et des règles.
Les règles des stratégies de pare-feu réseau au niveau mondial sont utilisées pour configurer l'inspection de couche 7 du trafic correspondant, par exemple lors de l'utilisation du service de prévention des intrusions.
Vous créez une règle de stratégie de pare-feu avec l'action
apply_security_profile_groupet le nom du groupe de profils de sécurité. Le trafic correspondant à la règle de stratégie de pare-feu est transféré de manière transparente vers le point de terminaison de pare-feu pour l'inspection de couche 7. Pour en savoir plus sur la création d'une règle de stratégie de pare-feu, consultez la section Créer des règles de pare-feu de réseau au niveau mondial.
Détails des règles des stratégies de pare-feu de réseau au niveau mondial
Pour plus d'informations sur les composants et les paramètres des règles d'une stratégie de pare-feu réseau au niveau mondial, consultez la page Règles de stratégie de pare-feu.
Le tableau suivant récapitule les principales différences entre les règles de stratégie de pare-feu réseau au niveau mondial et les règles de pare-feu VPC:
| Règles de stratégie de pare-feu de réseau au niveau mondial | Règles de pare-feu VPC | |
|---|---|---|
| Numéro de priorité | Doit être unique dans une règle. | Priorités en double autorisées |
| Comptes de service en tant que cibles | Yes | Yes |
| Comptes de service en tant que sources (règles d'entrée uniquement) |
Non | Yes |
| Type de tag | Tag sécurisé | Balise de réseau |
| Nom et description | Nom, stratégie et description de la stratégie | Nom et description de la règle |
| Mise à jour groupée | Oui (fonctions de clonage, de modification et de remplacement de règle) | Non |
| Réutiliser | Yes | Non |
| Quotas | Nombre d'attributs : basé sur une complexité totale de chaque règle de la stratégie | Nombre de règles : les règles de pare-feu simples et complexes ont le même impact sur les quotas |
Règles prédéfinies
Toutes les stratégies de pare-feu réseau au niveau mondial disposent de deux règles goto_next prédéfinies avec la priorité la plus basse. Ces règles sont appliquées à toutes les connexions qui ne correspondent pas à une règle définie explicitement dans la stratégie, ce qui entraîne leur transmission à des règles de niveau inférieur ou à des règles de réseau.
Ces règles prédéfinies sont également présentes dans les stratégies de pare-feu réseau au niveau mondial et les stratégies de pare-feu hiérarchiques. Pour en savoir plus, consultez la section Règles prédéfinies dans la documentation sur les stratégies de pare-feu hiérarchiques.
Rôles IAM (Identity and Access Management)
Les rôles IAM régissent les actions suivantes en ce qui concerne les stratégies de pare-feu réseau au niveau mondial :
- Créer une stratégie de pare-feu de réseau au niveau mondial
- Associer une stratégie à un réseau
- Modifier une stratégie existante
- Afficher les stratégies de pare-feu en vigueur pour un réseau ou une VM spécifique
Le tableau suivant décrit les rôles nécessaires pour chaque action :
| Action | Rôle nécessaire |
|---|---|
| Créer une règle de pare-feu réseau au niveau mondial | Rôle compute.securityAdmin sur le projet auquel appartient la stratégie |
| Associer une stratégie à un réseau | Rôle compute.networkAdmin sur le projet hébergeant la stratégie |
| Modifier la stratégie en ajoutant, en mettant à jour ou en supprimant des règles de stratégie de pare-feu | Rôle compute.securityAdmin sur le projet contenant la stratégie |
| Supprimer la stratégie | Rôle compute.networkAdmin sur le projet hébergeant la stratégie |
| Afficher les stratégies de pare-feu efficaces pour un réseau VPC | Tous les rôles suivants pour le réseau : compute.networkAdmin compute.networkViewer compute.securityAdmin compute.securityReadOnly compute.viewer |
| Afficher les stratégies de pare-feu efficaces pour une VM dans un réseau | Tous les rôles suivants pour la VM : compute.instanceAdmin compute.securityAdmin compute.securityReadOnly compute.viewer |
Les rôles suivants sont pertinents pour les stratégies de pare-feu réseau au niveau mondial.
| Nom de rôle | Description |
|---|---|
| compute.securityAdmin | Peut être attribué au niveau du projet ou de la stratégie. Si ce rôle est accordé pour un projet, permet aux utilisateurs de créer, de mettre à jour et de supprimer des stratégies de pare-feu réseau au niveau mondial et leurs règles. Au niveau des stratégies, permet aux utilisateurs de mettre à jour les règles de stratégie, mais pas de les créer ni de les supprimer. Ce rôle permet également aux utilisateurs d'associer une stratégie à un réseau. |
| compute.networkAdmin | Accordé au niveau du projet ou du réseau. Si ce rôle est accordé pour un réseau, il permet aux utilisateurs d'afficher la liste des stratégies de pare-feu réseau au niveau mondial. |
|
compute.viewer compute.networkUser compute.networkViewer |
Permet aux utilisateurs d'afficher les règles de pare-feu appliquées au réseau ou à l'instance. Fournit l'autorisation compute.networks.getEffectiveFirewalls pour les réseaux et l'autorisation compute.instances.getEffectiveFirewalls pour les instances. |