Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Regionale Netzwerk-Firewallrichtlinien

Mit regionalen Netzwerk-Firewall-richtlinien können Sie eine konsistente Firewallrichtlinie für alle Subnetzwerke innerhalb einer Region in Ihrem VPC-Netzwerk erstellen und erzwingen. Sie können einem VPC-Netzwerk regionale Netzwerkfirewallrichtlinien zuweisen. Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen oder zur nächsten Hierarchieebene gehen.

Spezifikationen

  • Regionale Netzwerk-Firewallrichtlinien ähneln größtenteils den globalen Netzwerk-Firewallrichtlinien, wobei die regionalen Netzwerk-Firewallrichtlinien nur eine einzige Zielregion haben, während die globalen Netzwerk-Firewallrichtlinien automatisch für alle Regionen gelten.
  • Regionale Netzwerk-Firewallrichtlinien werden auf VPC-Ebene erstellt. Beim Erstellen einer Richtlinie werden die Regeln nicht automatisch auf das Netzwerk angewendet.
  • Nachdem Richtlinien erstellt wurden, können sie auf jedes VPC-Netzwerk in Ihrem Projekt angewendet werden.
  • Regionale Netzwerk-Firewallrichtlinien sind Container für Firewallregeln. Wenn Sie eine Richtlinie mit dem VPC-Netzwerk verknüpfen, werden alle Regeln sofort angewendet.
  • Sie können dieselbe regionale Netzwerk-Firewallrichtlinie mit mehreren VPC-Netzwerken in einem Projekt verknüpfen.
  • Regionale Netzwerk-Firewallrichtlinien unterstützen Tags in Firewallregeln. Weitere Informationen finden Sie unter Tags für Firewalls verwenden.

Details zur regionalen Netzwerk-Firewallrichtlinie

Regeln regionaler Netzwerk-Firewallrichtlinien werden in einer Firewallrichtlinienressource definiert, die als Container für Firewallregeln dient. Die in einer regionalen Netzwerk-Firewallrichtlinie definierten Regeln werden erst erzwungen, wenn die Richtlinie mit einem VPC-Netzwerk verknüpft ist.

Eine einzelne Richtlinie kann mehreren VPC-Netzwerken zugeordnet sein. Wenn Sie eine Regel in einer Richtlinie ändern, gilt diese Regel für alle derzeit verknüpften Netzwerke.

In einer bestimmten Region kann nur eine regionale Netzwerk-Firewallrichtlinie mit einem Netzwerk verknüpft werden. Firewallrichtlinienregeln für Netzwerke, VPC-Firewallregeln und Firewall-Richtlinien-regeln für regionale Netzwerke werden in einer festgelegten Reihenfolge ausgewertet.

Eine Firewallrichtlinie, die keinem Netzwerk zugeordnet ist, ist eine nicht verknüpfte regionale Netzwerk-Firewallrichtlinie.

Details zu regionalen Netzwerk-Firewallrichtlinien-Regeln

Regionale Netzwerk-Firewall-Richtlinien enthalten Regeln, die im Allgemeinen so funktionieren wie Netzwerk-Firewall-Richtlinien-regeln, es gibt jedoch einige Unterschiede:

  • Regionale Erzwingung: Die Regeln der regionalen Netzwerkfirewallrichtlinie gelten nur für die Region, in der die regionale Netzwerkfirewallrichtlinie erstellt wird.
  • Prioritätsreihenfolge: Sie müssen die Prioritäten angeben, während Sie die Regeln der regionalen Netzwerkfirewallrichtlinien erstellen. Diese Prioritäten müssen innerhalb derselben regionalen Netzwerk-Firewallrichtlinie eindeutig sein. Prioritäten sind nur innerhalb einer regionalen Netzwerk-Firewall-Richtlinie relevant. Die Reihenfolge der Regelauswertung wird anhand der Regelpriorität ermittelt, von der niedrigsten zur höchsten Nummer. Die Regel mit dem niedrigsten zugewiesenen numerischen Wert hat die höchste logische Priorität und wird vor Regeln mit niedrigeren logischen Prioritäten ausgewertet. Die minimale numerische Priorität ist 0. Die Priorität einer Regel nimmt ab, je höher ihre Nummer ist (1, 2, 3, N+1). Jede Priorität kann nur einer Regel zugewiesen werden. Für die Priorität jeder Regel muss ein Wert im Bereich von 0 bis 2147483547 festgelegt werden. Die Prioritätswerte von 2147483548 (INT-MAX-99) bis 2147483647 (INT-MAX) werden für die Standardfirewallregeln des Systems beibehalten.
  • Evaluierungsreihenfolge: Regionale Netzwerk-Firewall-Richtlinien werden immer nach globalen Netzwerk-Firewall-Richtlinien ausgewertet. Standardmäßig werden VPC-Firewallregeln vor globalen und regionalen Netzwerk-Firewall-Richtlinien ausgewertet. Sie können auch die Auswertungsreihenfolge anpassen und angeben, ob Netzwerk-Firewall-Richtlinien vor oder nach den VPC-Firewallregeln ausgewertet werden sollen.

Die regionalen Netzwerk-Firewallrichtlinienregeln enthalten auch sichere Tags für Quelle und Ziel.

Vordefinierte Regeln

Alle regionalen Netzwerk-Firewallrichtlinien haben vier vordefinierte goto_next-Regeln mit der niedrigsten Priorität. Diese Regeln werden auf alle Verbindungen angewendet, die nicht mit einer explizit definierten Regel in der Richtlinie übereinstimmen, sodass solche Verbindungen an untergeordnete Richtlinien oder Netzwerkregeln weitergegeben werden.

Diese Regeln sind mit den Regeln der hierarchischen Firewallrichtlinien identisch. Weitere Informationen zu vordefinierten Regeln finden Sie unter Vordefinierte Regeln.

IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung)

Weitere Informationen zu IAM-Rollen, die die Aktionen zum Erstellen und Verwalten regionaler Netzwerk-Firewallrichtlinien steuern, finden Sie unter Regionale Netzwerkfirewallrichtlinien verwenden.