I criteri firewall di rete a livello di regione consentono di creare e applicare criterio firewall in tutte le subnet all'interno di una regione nel tuo rete VPC. Puoi assegnare criteri firewall di rete regionali a una rete VPC. Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni oppure passare al livello successivo della gerarchia.
Specifiche
- I criteri firewall di rete regionali sono per lo più simili ai criteri firewall di rete globali. I criteri firewall di rete regionali hanno una sola regione di destinazione, mentre i criteri firewall di rete globali si applicano automaticamente a tutte le regioni.
- I criteri firewall di rete regionali vengono creati a livello di VPC. La creazione di un criterio non applica automaticamente le regole alla rete.
- Una volta creati, i criteri possono essere applicati (associati a) a qualsiasi rete VPC nel tuo progetto.
- I criteri firewall di rete regionali sono container per le regole firewall. Quando associare un criterio alla rete VPC, tutte le regole vengono applicati immediatamente.
- Puoi associare lo stesso criterio firewall di rete a livello di regione a più reti VPC in un progetto.
- I criteri firewall di rete regionali non supportano l'ispezione a livello 7.
- I criteri firewall di rete regionali supportano i tag nelle regole firewall. Per maggiori dettagli, vedi Utilizzare i tag per i firewall.
Dettagli dei criteri firewall di rete a livello di regione
Le regole del criterio firewall di rete a livello di regione sono definite in una risorsa del criterio firewall che funge da container per le regole firewall. Le regole definite in un criterio firewall di rete regionale non vengono applicate finché il criterio non viene associato a una rete VPC.
Un singolo criterio può essere associato a più reti VPC. Se modifichi una regola in un criterio, la modifica si applica a tutte le reti attualmente associate.
In una regione specifica, è possibile eseguire un solo criterio firewall di rete a livello di regione associati a una rete. regole firewall di rete globali, Regole firewall VPC e regole dei criteri firewall di rete a livello di regione vengono valutate in un ordine ben definito.
Un criterio firewall non associato ad alcuna rete è non associato il criterio firewall di rete regionale.
Dettagli regola del criterio firewall di rete regionale
I criteri firewall di rete regionali contengono regole che in genere funzionano come le regole dei criteri firewall di rete, ma esistono alcune differenze:
Applicazione a livello di regione:le regole del criterio firewall di rete a livello di regione. sono applicabili solo alla regione in cui il firewall di rete regionale viene creato un criterio.
Ordine di priorità. Devi specificare le priorità durante la creazione dell'elemento di regole firewall di rete regionali. Queste priorità sono uniche e significative solo all'interno un criterio firewall di rete regionale.
L'ordine di valutazione delle regole è determinato dalla priorità della regola, da quella più bassa numero predefinito al numero più alto. La regola con il valore numerico più basso assegnato, ha la priorità logica più alta vengono valutate prima delle regole con priorità logiche inferiori. La priorità di un diminuisce quando il suo numero aumenta (1, 2, 3, N+1). Non puoi configurare due o più regole con la stessa priorità.
La priorità di ogni regola deve essere impostata su un numero compreso tra 0 e 2147483547 inclusi. La priorità numerica minima è 0. I valori di priorità da 2147483548 (INT-MAX-99) a 2147483647 (INT-MAX) sono riservati alle regole firewall predefinite del sistema.
Ordine di valutazione: i criteri firewall di rete regionali vengono sempre valutati dopo i criteri firewall di rete globali. Per impostazione predefinita, le regole firewall sono valutati prima dei criteri firewall di rete globali e regionali. Puoi anche personalizzare l'ordine di valutazione delle regole per applicare i criteri firewall di rete globale prima o dopo le regole firewall VPC.
Le regole dei criteri firewall di rete a livello di regione includono anche origine e destinazione tag protetti.
Regole predefinite
Quando crei un criterio firewall di rete a livello di regione, Cloud Next Generation Firewall aggiunge regole predefinite con la priorità più bassa per il criterio. Queste regole vengono applicate a tutte le connessioni che non corrispondono a una regola definita esplicitamente nel criterio, pertanto vengono trasmesse a criteri o regole di rete di livello inferiore.
Per informazioni sui vari tipi di regole predefinite e sulle relative caratteristiche, consulta Regole predefinite.
i ruoli IAM (Identity and Access Management)
Per maggiori dettagli sui ruoli IAM che regolano le azioni per creare e gestire Criteri firewall di rete regionali, consulta Utilizzare i criteri firewall di rete regionali.