I criteri firewall di rete a livello di regione consentono di creare e applicare un criterio firewall coerente in tutte le subnet all'interno di una regione della rete VPC. Puoi assegnare criteri firewall di rete a livello di regione a una rete VPC. Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni o andare al livello successivo della gerarchia.
Specifiche
- I criteri firewall di rete regionali sono per lo più simili ai criteri firewall di rete globali.I criteri firewall di rete regionali hanno una sola regione di destinazione, mentre i criteri firewall di rete globali si applicano automaticamente a tutte le regioni.
- I criteri firewall di rete a livello di regione vengono creati a livello di VPC. La creazione di un criterio non applica automaticamente le regole alla rete.
- Una volta creati, i criteri possono essere applicati (associati a) qualsiasi rete VPC del tuo progetto.
- I criteri firewall di rete regionali sono container per le regole firewall. Quando associ un criterio alla rete VPC, tutte le regole vengono applicate immediatamente.
- Puoi associate lo stesso criterio firewall di rete a livello di regione a più reti VPC in un progetto.
- I criteri firewall di rete regionali supportano i tag nelle regole firewall. Per maggiori dettagli, consulta Utilizzare i tag per i firewall.
Dettagli dei criteri firewall di rete regionali
Le regole dei criteri firewall di rete regionali sono definite in una risorsa dei criteri firewall che funge da container per le regole firewall. Le regole definite in un criterio firewall di rete a livello di regione non vengono applicate finché il criterio non viene associato a una rete VPC.
Un singolo criterio può essere associato a più reti VPC. Se modifichi una regola in un criterio, la modifica verrà applicata a tutte le reti attualmente associate.
In una regione specifica, è possibile associare un solo criterio firewall di rete a una rete. Le regole dei criteri del firewall di rete, le regole del firewall VPC e le regole dei criteri firewall di rete a livello di regione vengono valutate in un ordine ben definito.
Un criterio firewall che non è associato a nessuna rete è un criterio firewall di rete a livello di regione non associato.
Dettagli delle regole dei criteri firewall di rete regionali
I criteri firewall di rete regionali contengono regole che generalmente funzionano come le regole dei criteri firewall di rete, ma con alcune differenze:
Applicazione a livello di regione: le regole dei criteri firewall di rete a livello di regione sono applicabili solo nella regione in cui viene creato il criterio firewall di rete a livello di regione.
Ordine di priorità: è necessario specificare le priorità durante la creazione delle regole dei criteri firewall di rete regionali. Queste priorità sono univoche e significative solo all'interno di un criterio firewall di rete a livello di regione.
L'ordine di valutazione delle regole è determinato dalla priorità della regola, dal numero più basso al numero più alto. La regola a cui è assegnato il valore numerico più basso ha la priorità logica più alta e viene valutata prima delle regole con priorità logiche inferiori. La priorità di una regola diminuisce all'aumentare del suo numero (1, 2, 3, N+1). Non puoi configurare due o più regole con la stessa priorità.
La priorità di ogni regola deve essere impostata su un numero compreso tra 0 e 2147483547 inclusi. La priorità numerica minima è 0. I valori di priorità da 2147483548 (INT-MAX-99) a 2147483647 (INT-MAX) sono riservati per le regole firewall predefinite del sistema.
Ordine di valutazione: i criteri firewall di rete regionali vengono sempre valutati dopo i criteri firewall di rete globali. Per impostazione predefinita, le regole firewall VPC vengono valutate prima dei criteri firewall di rete globali e a livello di regione. Puoi anche personalizzare l'ordine di valutazione delle regole per applicare i criteri firewall di rete globali prima o dopo le regole firewall VPC.
Le regole dei criteri firewall di rete regionali includono anche tag protetti di origine e di destinazione.
Regole predefinite
Quando crei un criterio firewall di rete a livello di regione, il firewall Cloud Next Generation aggiunge al criterio regole predefinite con la priorità più bassa. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita esplicitamente nel criterio e vengono trasferite a criteri o regole di rete di livello inferiore.
Per informazioni sui vari tipi di regole predefinite e sulle loro caratteristiche, consulta Regole predefinite.
i ruoli IAM (Identity and Access Management)
Per maggiori dettagli sui ruoli IAM che regolano le azioni per creare e gestire i criteri firewall di rete a livello di regione, consulta Utilizzare i criteri firewall di rete a livello di regione.