As políticas de firewall de rede regionais permitem-lhe criar e aplicar uma política de firewall consistente em todas as sub-redes numa região na sua rede de VPC. Pode atribuir políticas de firewall de rede regionais a uma rede de VPC. Estas políticas contêm regras que podem negar ou permitir explicitamente ligações, ou avançar para o nível seguinte da hierarquia.
Especificações
- As políticas de firewall de rede regionais são maioritariamente semelhantes às políticas de firewall de rede globais.As políticas de firewall de rede regionais têm apenas uma região de destino, enquanto as políticas de firewall de rede globais se aplicam automaticamente a todas as regiões.
- As políticas de firewall de rede regionais são criadas ao nível da VPC. A criação de uma política não aplica automaticamente as regras à rede.
- As políticas, depois de criadas, podem ser aplicadas (associadas) a qualquer rede VPC no seu projeto.
- As políticas de firewall de rede regionais são contentores para regras de firewall. Quando associa uma política à rede VPC, todas as regras são aplicadas imediatamente.
- Pode associar a mesma política de firewall de rede regional a várias redes VPC num projeto.
- As políticas de firewall de rede regionais não suportam a inspeção da camada 7.
- As políticas de firewall de rede regionais suportam etiquetas nas regras de firewall. Para mais detalhes, consulte o artigo Crie e faça a gestão de etiquetas seguras.
- Pode criar políticas de firewall de rede regionais com um tipo de política de firewall definido como
RDMA_ROCE_POLICYpara as poder usar com redes da VPC RoCE. Para mais informações, consulte o artigo Firewall de nova geração do Google Cloud para redes da VPC RoCE.
Detalhes da política de firewall de rede regional
As regras de política de firewall de rede regionais são definidas num recurso de política de firewall que funciona como um contentor para regras de firewall. As regras definidas numa política de firewall de rede regional não são aplicadas até que a política seja associada a uma rede de VPC.
Uma única política pode ser associada a várias redes VPC. Se modificar uma regra numa política, essa alteração da regra aplica-se a todas as redes associadas.
Numa região específica, só é possível associar uma política de firewall de rede regional a uma rede. As regras de políticas de firewall de rede globais, as regras de firewall de VPC e as regras de políticas de firewall de rede regionais são avaliadas numa ordem bem definida.
Uma política de firewall que não está associada a nenhuma rede é uma política de firewall de rede regional não associada.
Detalhes da regra de política de firewall de rede regional
As políticas de firewall de rede regionais contêm regras que geralmente funcionam da mesma forma que as regras de política de firewall de rede, mas existem algumas diferenças:
Aplicação regional: as regras da política de firewall de rede regional só são aplicáveis à região onde a política de firewall de rede regional é criada.
Ordem de prioridade: tem de especificar prioridades ao criar as regras da política de firewall de rede regional. Estas prioridades são únicas e só são significativas numa política de firewall de rede regional.
A ordem de avaliação das regras é determinada pela prioridade das regras, do número mais baixo para o número mais alto. A regra com o valor numérico mais baixo atribuído tem a prioridade lógica mais elevada e é avaliada antes das regras com prioridades lógicas mais baixas. A prioridade de uma regra diminui à medida que o respetivo número aumenta (1, 2, 3, N+1). Não pode configurar duas ou mais regras com a mesma prioridade.
A prioridade de cada regra tem de ser definida como um número entre 0 e 2147483547, inclusive. A prioridade numérica mínima é 0. Os valores de prioridade de 2147483548 (INT-MAX-99) a 2147483647 (INT-MAX) estão reservados para as regras de firewall predefinidas do sistema.
Ordem de avaliação: as políticas de firewall de rede regionais são sempre avaliadas após as políticas de firewall de rede globais. Por predefinição, as regras de firewall da VPC são avaliadas antes das políticas de firewall de rede globais e regionais. Também pode personalizar a ordem de avaliação das regras para aplicar as políticas de firewall de rede global antes ou depois das regras de firewall de VPC.
As regras da política de firewall de rede regional também incluem etiquetas seguras de origem e destino.
Regras predefinidas
Quando cria uma política de firewall de rede regional, o Cloud Next Generation Firewall adiciona regras predefinidas com a prioridade mais baixa à política. Estas regras são aplicadas a quaisquer ligações que não correspondam a uma regra definida explicitamente na política, o que faz com que essas ligações sejam transmitidas a políticas ou regras de rede de nível inferior.
Para saber mais sobre os vários tipos de regras predefinidas e as respetivas caraterísticas, consulte o artigo Regras predefinidas.
Funções da gestão de identidade e de acesso (IAM)
Para ver detalhes sobre as funções do IAM que regem as ações para criar e gerir políticas de firewall de rede regionais, consulte o artigo Use políticas de firewall de rede regionais.