Políticas regionais de firewall da rede

As políticas regionais de firewall permitem criar e aplicar uma política de firewall consistente em todas as sub-redes em uma região na sua rede VPC. É possível atribuir políticas de firewall regionais a uma rede VPC. Essas políticas contêm regras que podem negar ou permitir conexões explicitamente ou ir para o próximo nível da hierarquia.

Especificações

  • As políticas de firewall regionais são semelhantes às políticas de firewall de rede globais. As políticas de firewall regionais têm uma e apenas uma região de destino, enquanto as políticas de firewall de rede globais são aplicadas automaticamente a todas as regiões.
  • As políticas de firewall regionais são criadas no nível da VPC. Criar uma política não aplica automaticamente as regras à rede.
  • Depois de criadas, as políticas podem ser aplicadas a (associadas a) qualquer rede VPC no projeto.
  • As políticas de firewall de rede regionais são contêineres para regras de firewall. Quando você associa uma política à rede VPC, todas as regras são aplicadas imediatamente.
  • É possível associar a mesma política de firewall regional a várias redes VPC em um projeto.
  • As políticas de firewall da rede regional não oferecem suporte à inspeção da camada 7.
  • As políticas de firewall regionais são compatíveis com tags em regras de firewall. Para mais detalhes, consulte Usar tags seguras para firewalls.

Detalhes da política de firewall da rede regional

As regras da política de firewall regional são definidas em um recurso de política de firewall que atua como contêiner para regras de firewall. As regras definidas em uma política de firewall regional não são aplicadas até que a política seja associada a uma rede VPC.

Uma única política pode ser associada a várias redes VPC. Se você modificar uma regra em uma política, a alteração será aplicada a todas as redes associadas no momento.

Em uma região específica, apenas uma política de firewall de rede regional pode ser associada a uma rede. As regras de política de firewall de rede globais, regras de firewall de VPC e regras de política de firewall de rede regionais são avaliadas em uma ordem bem definida.

Uma política de firewall não associada a nenhuma rede é uma política de firewall regional não associada.

Detalhes da regra da política de firewall da rede regional

As políticas de firewall da rede regional contêm regras que geralmente funcionam da mesma forma que as regras da política de firewall de rede, mas há algumas diferenças:

  • Restrição regional: as regras da política de firewall regional são aplicáveis apenas à região em que a política de firewall de rede regional é criada.

  • Ordem de prioridade: é preciso especificar prioridades ao criar as regras da política de firewall da rede regional. Essas prioridades são únicas e significativas apenas em uma política de firewall de rede regional.

    A ordem de avaliação da regra é determinada pela prioridade da regra, do menor número para o maior. A regra com o menor valor numérico atribuído tem a maior prioridade lógica e é avaliada antes das regras com prioridades lógicas mais baixas. A prioridade de uma regra diminui à medida que o número dela aumenta (1, 2, 3, N+1). Não é possível configurar duas ou mais regras com a mesma prioridade.

    A prioridade de cada regra precisa ser definida como um número entre 0 e 2.147.483.547, incluindo ambos. A prioridade numérica mínima é 0. Os valores de prioridade de 2.147.483.548 (INT-MAX-99) a 2.147.483.647 (INT-MAX) são reservados para regras de firewall padrão do sistema.

  • Ordem de avaliação: as políticas de firewall regionais são sempre avaliadas após as políticas de firewall de rede globais. Por padrão, as regras de firewall da VPC são avaliadas antes das políticas de firewall de rede global e regional. Também é possível personalizar a ordem de avaliação de regras para aplicar as políticas de firewall da rede global antes ou depois das regras de firewall da VPC.

As regras da política de firewall regional também incluem tags seguras de origem e de destino.

Regras predefinidas

Quando você cria uma política de firewall de rede regional, o Cloud Firewall adiciona à política regras predefinidas com a menor prioridade. Essas regras são aplicadas a todas as conexões que não correspondem a uma regra definida explicitamente na política, fazendo com que essas conexões sejam transmitidas para políticas de nível inferior ou regras de rede.

Para saber mais sobre os vários tipos de regras predefinidas e as características delas, consulte Regras predefinidas.

papéis do Identity and Access Management (IAM)

Para ver detalhes sobre os papéis do IAM que regem as ações para criar e gerenciar políticas de firewall regionais, consulte Usar políticas de firewall regionais.