Mit regionalen Netzwerk-Firewall-richtlinien können Sie eine konsistente Firewallrichtlinie für alle Subnetzwerke innerhalb einer Region in Ihrem VPC-Netzwerk erstellen und erzwingen. Sie können einem VPC-Netzwerk regionale Firewallrichtlinien zuweisen. Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen, oder zur nächsten Hierarchieebene wechseln.
Spezifikationen
- Regionale Netzwerk-Firewallrichtlinien ähneln größtenteils den globalen Netzwerk-Firewallrichtlinien, wobei die regionalen Netzwerk-Firewallrichtlinien nur eine einzige Zielregion haben, während die globalen Netzwerk-Firewallrichtlinien automatisch für alle Regionen gelten.
- Regionale Netzwerk-Firewallrichtlinien werden auf VPC-Ebene erstellt. Beim Erstellen einer Richtlinie werden die Regeln nicht automatisch auf das Netzwerk angewendet.
- Nachdem Richtlinien erstellt wurden, können sie auf jedes VPC-Netzwerk in Ihrem Projekt angewendet werden.
- Regionale Netzwerk-Firewallrichtlinien sind Container für Firewallregeln. Wenn Sie eine Richtlinie mit dem VPC-Netzwerk verknüpfen, werden alle Regeln sofort angewendet.
- Sie können dieselbe regionale Netzwerk-Firewallrichtlinie mit mehreren VPC-Netzwerken in einem Projekt verknüpfen.
- Regionale Netzwerk-Firewallrichtlinien unterstützen Tags in Firewallregeln. Weitere Informationen finden Sie unter Tags für Firewalls verwenden.
Details zur regionalen Netzwerk-Firewallrichtlinie
Regeln regionaler Netzwerk-Firewallrichtlinien werden in einer Firewallrichtlinienressource definiert, die als Container für Firewallregeln dient. Die in einer regionalen Netzwerk-Firewallrichtlinie definierten Regeln werden erst erzwungen, wenn die Richtlinie mit einem VPC-Netzwerk verknüpft ist.
Eine einzelne Richtlinie kann mit mehreren VPC-Netzwerken verknüpft sein. Wenn Sie eine Regel in einer Richtlinie ändern, gilt diese Regel für alle derzeit verknüpften Netzwerke.
In einer bestimmten Region kann einem Netzwerk nur eine regionale Netzwerk-Firewallrichtlinie zugeordnet werden. Firewallrichtlinienregeln für Netzwerke, VPC-Firewallregeln und Firewallrichtlinienregeln für regionale Netzwerke werden in einer festgelegten Reihenfolge ausgewertet.
Eine Firewallrichtlinie, die keinem Netzwerk zugeordnet ist, ist eine nicht verknüpfte regionale Netzwerk-Firewallrichtlinie.
Details zu regionalen Netzwerk-Firewallrichtlinien-Regeln
Regionale Netzwerk-Firewall-Richtlinien enthalten Regeln, die im Allgemeinen so funktionieren wie Netzwerk-Firewall-Richtlinien-regeln, es gibt jedoch einige Unterschiede:
Regionale Erzwingung: Die Firewallrichtlinien für regionale Netzwerke gelten nur für die Region, in der die Firewallrichtlinie für regionale Netzwerke erstellt wird.
Prioritätsreihenfolge: Sie müssen Prioritäten erstellen, wenn Sie die Firewallrichtlinien für regionale Netzwerke erstellen. Diese Prioritäten sind eindeutig und nur innerhalb einer Firewallrichtlinie für regionale Netzwerke wichtig.
Die Reihenfolge der Regelauswertung wird anhand der Regelpriorität ermittelt, von der niedrigsten zur höchsten Nummer. Die Regel mit dem niedrigsten zugewiesenen numerischen Wert hat die höchste logische Priorität und wird vor Regeln mit niedrigeren logischen Prioritäten ausgewertet. Die Priorität einer Regel nimmt ab, je höher ihre Nummer ist (1, 2, 3, N+1). Jede Priorität kann nur einer Regel zugewiesen werden.
Für die Priorität jeder Regel muss ein Wert im Bereich von 0 bis 2147483547 festgelegt werden. Die minimale numerische Priorität ist 0. Die Prioritätswerte von 2147483548 (INT-MAX-99) bis 2147483647 (INT-MAX) werden für die Standardfirewallregeln des Systems reserviert.
Auswertungsreihenfolge: Firewallrichtlinien für regionale Netzwerke werden immer nach Firewallrichtlinien für globale Netzwerke ausgewertet. Standardmäßig werden VPC-Firewallregeln vor Firewallrichtlinien für globale und regionale Netzwerke ausgewertet. Sie können auch die Reihenfolge der Regelauswertung anpassen, um die Firewallrichtlinien für globale Netzwerke vor oder nach den VPC-Firewallregeln zu erzwingen.
Die Firewallrichtlinienregeln für regionale Netzwerke enthalten auch sichere Tags für Quelle und Ziel.
Vordefinierte Regeln
Wenn Sie eine regionale Netzwerk-Firewallrichtlinie erstellen, fügt Cloud Next Generation Firewall der Richtlinie vordefinierte Regeln mit der niedrigsten Priorität hinzu. Diese Regeln werden auf alle Verbindungen angewendet, die nicht mit einer explizit definierten Regel in der Richtlinie übereinstimmen, sodass solche Verbindungen an untergeordnete Richtlinien oder Netzwerkregeln weitergegeben werden.
Weitere Informationen zu den verschiedenen Arten vordefinierter Regeln und ihrer Eigenschaften finden Sie unter Vordefinierte Regeln.
IAM-Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung)
Weitere Informationen zu IAM-Rollen, die die Aktionen zum Erstellen und Verwalten regionaler Netzwerk-Firewallrichtlinien steuern, finden Sie unter Regionale Netzwerk-Firewallrichtlinien verwenden.