Les règles de pare-feu réseau au niveau mondial vous permettent de mettre à jour par lot toutes les règles de pare-feu en les regroupant en un seul objet de stratégie. Vous pouvez attribuer des stratégies de pare-feu réseau à un réseau cloud privé virtuel (VPC). Ces stratégies contiennent des règles qui peuvent explicitement refuser ou autoriser des connexions.
Spécifications
- Les stratégies de pare-feu réseau au niveau mondial sont des ressources de conteneurs pour les règles de pare-feu.
Chaque ressource de stratégie de pare-feu réseau au niveau mondial est définie dans un projet.
- Une fois que vous avez créé une stratégie de pare-feu réseau au niveau mondial, vous pouvez ajouter, mettre à jour et supprimer des règles de pare-feu dans la stratégie.
- Pour en savoir plus sur les règles des stratégies de pare-feu réseau au niveau mondial, consultez la page Règles de stratégie de pare-feu.
- Pour appliquer des règles de stratégie de pare-feu réseau au niveau mondial à un réseau VPC, vous devez associer la stratégie de pare-feu à ce réseau VPC.
- Vous pouvez associer une stratégie de pare-feu réseau au niveau mondial à plusieurs réseaux VPC. Assurez-vous que la stratégie de pare-feu et les réseaux associés appartiennent au même projet.
- Chaque réseau VPC ne peut être associé qu'à une stratégie de pare-feu de réseau mondial.
- Si la stratégie de pare-feu n'est associée à aucun réseau VPC, les règles de cette stratégie n'ont aucun effet. Une stratégie de pare-feu qui n'est associée à aucun réseau est une stratégie de pare-feu réseau au niveau mondial non associée.
- Lorsqu'une stratégie de pare-feu réseau au niveau mondial est associée à un ou plusieurs réseaux VPC, les règles des stratégies de pare-feu sont appliquées des manières suivantes :
- Les règles existantes sont appliquées aux ressources applicables dans les réseaux VPC associés.
- Toutes les modifications apportées aux règles sont appliquées aux ressources applicables dans les réseaux VPC associés.
- Les règles des stratégies de pare-feu réseau au niveau mondial sont appliquées avec les autres règles de pare-feu, comme décrit dans la section Ordre d'évaluation des stratégies et des règles.
Les règles des stratégies de pare-feu réseau au niveau mondial sont utilisées pour configurer l'inspection de couche 7 du trafic correspondant, par exemple lors de l'utilisation du service de prévention des intrusions.
Vous créez une règle de stratégie de pare-feu avec l'action
apply_security_profile_groupet le nom du groupe de profils de sécurité. Le trafic correspondant à la règle de stratégie de pare-feu est transféré de manière transparente vers le point de terminaison de pare-feu pour l'inspection de couche 7. Pour en savoir plus sur la création d'une règle de stratégie de pare-feu, consultez la section Créer des règles de pare-feu de réseau au niveau mondial.
Détails des règles des stratégies de pare-feu de réseau au niveau mondial
Pour plus d'informations sur les composants et les paramètres des règles d'une stratégie de pare-feu réseau au niveau mondial, consultez la page Règles de stratégie de pare-feu.
Le tableau suivant récapitule les principales différences entre les règles de stratégie de pare-feu réseau au niveau mondial et les règles de pare-feu VPC :
| Règles de stratégie de pare-feu de réseau au niveau mondial | Règles de pare-feu VPC | |
|---|---|---|
| Numéro de priorité | Doit être unique dans une règle. | Priorités en double autorisées |
| Comptes de service en tant que cibles | Yes | Yes |
| Comptes de service en tant que sources (règles d'entrée uniquement) |
Non | Yes |
| Type de tag | Tag sécurisé | Balise de réseau |
| Nom et description | Nom, stratégie et description de la stratégie | Nom et description de la règle |
| Mise à jour groupée | Oui (fonctions de clonage, de modification et de remplacement de règle) | Non |
| Réutiliser | Yes | Non |
| Quotas | Nombre d'attributs : basé sur une complexité totale de chaque règle de la stratégie | Nombre de règles : les règles de pare-feu simples et complexes ont le même impact sur les quotas |
Règles prédéfinies
Lorsque vous créez une stratégie de pare-feu de réseau mondiale, Cloud Next Generation Firewall ajoute des règles prédéfinies avec la priorité la plus basse à la stratégie. Ces règles sont appliquées à toutes les connexions qui ne correspondent pas à une règle définie explicitement dans la stratégie, ce qui entraîne leur transmission à des stratégies de niveau inférieur ou à des règles de réseau.
Pour en savoir plus sur les différents types de règles prédéfinies et leurs caractéristiques, consultez la section Règles prédéfinies.
rôles IAM (Identity and Access Management)
Les rôles IAM régissent les actions suivantes en ce qui concerne les stratégies de pare-feu réseau au niveau mondial :
- Créer une stratégie de pare-feu de réseau au niveau mondial
- Associer une stratégie à un réseau
- Modifier une stratégie existante
- Afficher les stratégies de pare-feu en vigueur pour un réseau ou une VM spécifique
Le tableau suivant décrit les rôles nécessaires pour chaque action :
| Action | Rôle nécessaire |
|---|---|
| Créer une règle de pare-feu réseau au niveau mondial | Rôle compute.securityAdmin sur le projet auquel appartient la stratégie |
| Associer une stratégie à un réseau | Rôle compute.networkAdmin sur le projet hébergeant la stratégie |
| Modifier la stratégie en ajoutant, en mettant à jour ou en supprimant des règles de stratégie de pare-feu | Rôle compute.securityAdmin sur le projet contenant la stratégie |
| Supprimer la stratégie | Rôle compute.networkAdmin sur le projet hébergeant la stratégie |
| Afficher les stratégies de pare-feu efficaces pour un réseau VPC | L'un des rôles suivants pour le réseau : compute.networkAdmin compute.networkViewer compute.securityAdmin compute.viewer |
| Afficher les stratégies de pare-feu efficaces pour une VM dans un réseau | L'un des rôles suivants pour la VM : compute.instanceAdmin compute.securityAdmin compute.viewer |
Les rôles suivants sont pertinents pour les stratégies de pare-feu réseau au niveau mondial.
| Nom de rôle | Description |
|---|---|
| compute.securityAdmin | Peut être attribué au niveau du projet ou de la stratégie. Si ce rôle est accordé pour un projet, permet aux utilisateurs de créer, de mettre à jour et de supprimer des stratégies de pare-feu réseau au niveau mondial et leurs règles. Au niveau des stratégies, permet aux utilisateurs de mettre à jour les règles de stratégie, mais pas de les créer ni de les supprimer. Ce rôle permet également aux utilisateurs d'associer une stratégie à un réseau. |
| compute.networkAdmin | Accordé au niveau du projet ou du réseau. Si ce rôle est accordé pour un réseau, il permet aux utilisateurs d'afficher la liste des stratégies de pare-feu réseau au niveau mondial. |
|
compute.viewer compute.networkUser compute.networkViewer |
Permet aux utilisateurs d'afficher les règles de pare-feu appliquées au réseau ou à l'instance. Fournit l'autorisation compute.networks.getEffectiveFirewalls pour les réseaux et l'autorisation compute.instances.getEffectiveFirewalls pour les instances. |