Las políticas de firewall de red regionales te permiten crear y aplicar una política de firewall coherente en todas las subredes dentro de una región en la red de VPC. Puedes asignar políticas de firewall regionales a una red de VPC. Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita, o ir al siguiente nivel de la jerarquía.
Especificaciones
- Las políticas de firewall de red regionales son, en su mayoría, similares a las políticas de firewall de la red global. Estas políticas tienen una sola región de destino, mientras que las políticas de firewall de red globales se aplican de forma automática a todas las regiones.
- Las políticas de firewall de red regionales se crean a nivel de VPC. La creación de una política no aplica automáticamente las reglas a la red.
- Una vez creadas, las políticas se pueden aplicar a (asociar con) cualquier red de VPC de tu proyecto.
- Las políticas de firewall de red regionales son contenedores para las reglas de firewall. Cuando asocias una política con la red de VPC, todas las reglas se aplican de inmediato.
- Puedes asociar la misma política de firewall de red regional a varias redes de VPC en un proyecto.
- Las políticas de firewall de red regionales admiten etiquetas en las reglas de firewall. Si deseas obtener más detalles, consulta Usa etiquetas para firewalls.
Detalles de las políticas de firewall de red regionales
Las reglas de políticas de firewall de red regionales se definen en un recurso de política de firewall que actúa como un contenedor para las reglas de firewall. Las reglas que se definen en una política de firewall de red regional no se aplican hasta que la política esté asociada con una red de VPC.
Se puede asociar una sola política con varias redes de VPC. Si modificas una regla en una política, esa modificación se aplica a todas las redes asociados actualmente.
En una región específica, solo se puede asociar una política de firewall de red regional con una red. Las reglas de las políticas de firewall de red, las reglas de firewall de VPC y las reglas de las políticas de firewall de red regional se evalúan en un orden bien definido.
Una política de firewall que no está asociada con ninguna red es una política de firewall regional de red no asociada.
Detalles de las reglas de las políticas de firewall de red regionales
Las políticas de firewall de red regionales contienen reglas que suelen funcionar de la misma manera que las reglas de políticas de firewall de red, pero existen algunas diferencias:
Aplicación regional: Las reglas de políticas de firewall regionales solo se aplican a la región en la que se crea la política de firewall de red regional.
Orden de prioridad: Debes especificar las prioridades mientras creas las reglas de políticas de firewall de red regionales. Estas prioridades son únicas y solo son significativas dentro de una política de firewall de red regional.
El orden de evaluación de la regla se determina mediante la prioridad de la regla, desde el número más bajo hasta el número más alto. La regla con el valor numérico más bajo asignado tiene la prioridad lógica más alta y se evalúa antes que las reglas con prioridades lógicas más bajas. La prioridad de una regla disminuye a medida que aumenta su número (1, 2, 3, N+1). No puedes configurar dos o más reglas con la misma prioridad.
La prioridad para cada regla debe establecerse en un número del 0 al 2147483547, inclusive. La prioridad numérica mínima es 0. Los valores de prioridad de 2147483548 (INT-MAX-99) a 2147483647 (INT-MAX) se conservan para las reglas de firewall predeterminadas del sistema.
Orden de evaluación: las políticas de firewall regionales siempre se evalúan después de las políticas de firewall de red globales. De forma predeterminada, las reglas de firewall de VPC se evalúan antes que las políticas de firewall de red globales y regionales. También puedes personalizar el orden de evaluación de reglas para aplicar las políticas de firewall de red globales antes o después de las reglas de firewall de VPC.
Las reglas de las políticas de firewall regionales también incluyen etiquetas seguras de origen y de destino.
Reglas predefinidas
Cuando creas una política de firewall de red regional, Cloud Next Generation Firewall Enterprise agrega reglas predefinidas con la prioridad más baja a la política. Estas reglas se aplican a cualquier conexión que no coincida con una regla definida de manera explícita en la política, lo que provoca que esas conexiones se pasen a políticas o reglas de red de nivel inferior.
Para obtener información sobre los distintos tipos de reglas predefinidas y sus características, consulta Reglas predefinidas.
roles de Identity and Access Management (IAM)
Si deseas obtener detalles sobre los roles de IAM que rigen las acciones para crear y administrar políticas de firewall de red regionales, consulta Usa políticas de firewall de red regionales.