Règles de pare-feu réseau régionales

Les stratégies de pare-feu de réseau régionales vous permettent de créer et d'appliquer une stratégie de pare-feu cohérente sur tous les sous-réseaux d'une région de votre réseau VPC. Vous pouvez attribuer des stratégies de pare-feu de réseau régionales à un réseau VPC. Ces stratégies contiennent des règles qui peuvent explicitement refuser ou autoriser des connexions, ou qui vont au niveau suivant de la hiérarchie.

Spécifications

  • Les stratégies de pare-feu réseau régionales sont principalement similaires aux stratégies de pare-feu réseau mondiales. Celles-ci ne comportent qu'une seule région cible, tandis que les stratégies de pare-feu réseau globales s'appliquent automatiquement à toutes les régions.
  • Les stratégies de pare-feu réseau régionales sont créées au niveau du VPC. La création d'une stratégie n'applique pas automatiquement les règles au réseau.
  • Une fois créées, elles peuvent être appliquées (associées) à n'importe quel réseau VPC de votre projet.
  • Les stratégies de pare-feu réseau régionales sont des conteneurs pour les règles de pare-feu. Lorsque vous associez une stratégie au réseau VPC, toutes les règles sont immédiatement appliquées.
  • Vous pouvez associer la même stratégie de pare-feu réseau régionale à plusieurs réseaux VPC d'un projet.
  • Les règles de pare-feu réseau régionales ne sont pas compatibles avec l'inspection de couche 7.
  • Les stratégies de pare-feu réseau régionales sont compatibles avec les tags dans les règles de pare-feu. Pour plus d'informations, consultez la section Utiliser des tags pour les pare-feu.

Détails des stratégies de pare-feu de réseau régionales

Les règles des stratégies de pare-feu réseau régionales sont définies dans une ressource de stratégie de pare-feu qui agit comme un conteneur pour les règles de pare-feu. Les règles définies dans une stratégie de pare-feu réseau régionale ne sont pas appliquées tant que la stratégie n'est pas associée à un réseau VPC.

Une même règle peut être associée à plusieurs réseaux VPC. Si vous modifiez une règle d'une stratégie, cette modification s'applique à tous les réseaux actuellement associés.

Dans une région spécifique, une seule stratégie de pare-feu réseau régionale peut être associée à un réseau. Les règles des stratégies de pare-feu réseau mondiales, les règles de pare-feu VPC et les règles des stratégies de pare-feu réseau régionales sont évaluées dans un ordre bien défini.

Une stratégie de pare-feu qui n'est associée à aucun réseau est une stratégie de pare-feu réseau régionale non associée.

Détails des règles de stratégie de pare-feu de réseau régionales

Les stratégies de pare-feu réseau régionales contiennent des règles qui fonctionnent généralement de la même manière que les règles de stratégie de pare-feu réseau, à quelques différences près, comme suit :

  • Application régionale : les règles des stratégies de pare-feu réseau régionales ne s'appliquent qu'à la région dans laquelle la stratégie de pare-feu réseau régionale est créée.

  • Ordre de priorité : vous devez spécifier des priorités lors de la création des règles des stratégies de pare-feu réseau régionales. Ces priorités sont uniques et ne sont importantes que dans une stratégie de pare-feu réseau régionale.

    L'ordre d'évaluation des règles est déterminé par la priorité de la règle, du nombre le plus faible au nombre le plus élevé. La règle ayant la valeur numérique la plus basse est attribuée à la priorité logique la plus élevée et est évaluée avant les règles ayant des priorités logiques inférieures. La priorité d'une règle diminue lorsque le numéro qui lui est attribué augmente (1, 2, 3, N+1). Vous ne pouvez pas configurer deux règles (ou plus) ayant la même priorité.

    La priorité de chaque règle doit être définie sur une valeur numérique comprise entre 0 et 2147483547 (inclus). La valeur numérique minimale de priorité est 0. Les valeurs de priorité comprises entre 2147483548 (INT-MAX-99) et 2147483647 (INT-MAX) sont réservées pour les règles de pare-feu par défaut du système.

  • Ordre d'évaluation : les stratégies de pare-feu réseau régionales sont toujours évaluées après les stratégies de pare-feu réseau globales. Par défaut, les règles de pare-feu VPC sont évaluées avant les stratégies de pare-feu réseau globales et régionales. Vous pouvez également personnaliser l'ordre d'évaluation des règles pour appliquer les stratégies de pare-feu réseau globales avant ou après les règles de pare-feu VPC.

Les règles des stratégies de pare-feu réseau régionales incluent également les tags sécurisés sources et cibles.

Règles prédéfinies

Lorsque vous créez une stratégie de pare-feu de réseau régionale, Cloud Next Generation Firewall ajoute des règles prédéfinies avec la priorité la plus basse à la stratégie. Ces règles sont appliquées à toutes les connexions qui ne correspondent pas à une règle définie explicitement dans la stratégie, ce qui entraîne leur transmission à des stratégies de niveau inférieur ou à des règles de réseau.

Pour en savoir plus sur les différents types de règles prédéfinies et leurs caractéristiques, consultez la section Règles prédéfinies.

Rôles IAM (Identity and Access Management)

Pour en savoir plus sur les rôles IAM qui régissent les actions de création et de gestion des stratégies de pare-feu réseau régionales, consultez la page Utiliser des stratégies de pare-feu réseau régionales.