I criteri firewall di rete a livello di regione consentono di creare e applicare un criterio firewall coerente su tutte le subnet all'interno di una regione nella rete VPC. Puoi assegnare criteri firewall di rete a livello di regione a una rete VPC. Questi criteri contengono regole che possono consentire o negare esplicitamente le connessioni o passare al livello successivo della gerarchia.
Specifiche
- I criteri firewall di rete regionali sono per lo più simili ai criteri firewall di rete globali.I criteri firewall di rete a livello di regione hanno una sola regione di destinazione, mentre i criteri firewall di rete globali si applicano automaticamente a tutte le regioni.
- I criteri firewall di rete regionali vengono creati a livello di VPC. La creazione di un criterio non applica automaticamente le regole alla rete.
- Una volta creati, i criteri possono essere applicati (associati a) a qualsiasi rete VPC del progetto.
- I criteri firewall di rete regionali sono container per le regole firewall. Quando associ un criterio alla rete VPC, tutte le regole vengono applicate immediatamente.
- Puoi associate lo stesso criterio firewall di rete regionale a più reti VPC in un progetto.
- I criteri firewall di rete regionali supportano i tag nelle regole firewall. Per maggiori dettagli, consulta Utilizzare i tag per i firewall.
Dettagli dei criteri firewall di rete a livello di regione
Le regole dei criteri firewall di rete regionali sono definite in una risorsa di criterio firewall che funge da container per le regole firewall. Le regole definite in un criterio firewall di rete a livello di regione non vengono applicate finché il criterio non viene associato a una rete VPC.
Un singolo criterio può essere associato a più reti VPC. Se modifichi una regola in un criterio, la modifica della regola verrà applicata a tutte le reti attualmente associate.
In una regione specifica, è possibile associare un solo criterio firewall di rete a livello di regione a una rete. Le regole dei criteri firewall di rete globali, le regole firewall VPC e le regole dei criteri firewall di rete a livello di regione vengono valutate in un ordine ben definito.
Un criterio firewall non associato ad alcuna rete è un criterio firewall di rete a livello di regione non associato.
Dettagli regola del criterio firewall di rete regionale
I criteri firewall di rete regionali contengono regole che generalmente funzionano come le regole dei criteri firewall di rete, ma con alcune differenze:
Applicazione a livello di regione: le regole del criterio firewall di rete a livello di regione sono applicabili solo alla regione in cui viene creato il criterio firewall di rete a livello di regione.
Ordine di priorità:devi specificare le priorità durante la creazione delle regole del criterio firewall di rete a livello di regione. Sono priorità univoche e significative solo all'interno di un criterio firewall di rete regionale.
L'ordine di valutazione delle regole è determinato dalla priorità della regola, dal numero più basso al numero più alto. La regola con il valore numerico più basso assegnato ha la priorità logica più alta e viene valutata prima delle regole con priorità logiche inferiori. La priorità di una regola diminuisce all'aumentare del suo numero (1, 2, 3, N+1). Non puoi configurare due o più regole con la stessa priorità.
La priorità di ogni regola deve essere impostata su un numero compreso tra 0 e 2147483547 inclusi. La priorità numerica minima è 0. I valori di priorità compresi tra 2147483548 (INT-MAX-99) e 2147483647 (INT-MAX) sono riservati alle regole firewall predefinite di sistema.
Ordine di valutazione:i criteri firewall di rete regionali vengono sempre valutati dopo i criteri firewall di rete globali. Per impostazione predefinita, le regole firewall VPC vengono valutate prima dei criteri firewall di rete globali e regionali. Puoi anche personalizzare l'ordine di valutazione delle regole per applicare i criteri firewall di rete globali prima o dopo le regole firewall VPC.
Le regole dei criteri firewall di rete regionali includono anche tag protetti di origine e di destinazione.
Regole predefinite
Quando crei un criterio firewall di rete a livello di regione, il firewall Cloud Next Generation aggiunge al criterio regole predefinite con la priorità più bassa. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola esplicitamente definita nel criterio e, di conseguenza, vengono trasmesse ai criteri di livello inferiore o alle regole di rete.
Per saperne di più sui vari tipi di regole predefinite e sulle relative caratteristiche, consulta la sezione Regole predefinite.
i ruoli IAM (Identity and Access Management)
Per maggiori dettagli sui ruoli IAM che regolano le azioni per creare e gestire i criteri firewall di rete regionali, consulta Utilizzare i criteri firewall di rete a livello di regione.